24.03.2020 Aufrufe

IT Security März 2020

Die Industrie vernetzt sich immer intensiver und komplexer. Parallel dazu wachsen auch die Sicherheitsprobleme und -lücken. Intelligente Lösungen und schnelle Hilfe sind gefordert. Mit 26 Jahren IT-Erfahrung informiert IT Security über praktische, kostengünstige, innovative und nachhaltige Lösungen zu aktuellen Sicherheitsfragen und -problemen.

Die Industrie vernetzt sich immer intensiver und komplexer. Parallel dazu wachsen auch die Sicherheitsprobleme und -lücken. Intelligente Lösungen und schnelle Hilfe sind gefordert. Mit 26 Jahren IT-Erfahrung informiert IT Security über praktische, kostengünstige, innovative und nachhaltige Lösungen zu aktuellen Sicherheitsfragen und -problemen.

MEHR ANZEIGEN
WENIGER ANZEIGEN

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.

MÄRZ 2020

DAS

SPEZIAL

PASSWORD SAFE

WAS IST HEUTE

SCHON SICHER?

Sascha Martens, MATESO

CYBERSICHERHEIT

IM JAHR 2020

BERECHTIGUNGS-

KONTROLLE

VORTEILE VON

ZERO TRUST

Drei

kon

onkr

kret

ete

Bedr

droh

ohun

ungs

gssz

szen

enarien

Anal

yse &

Über

wach

chun

g

Sicher

e

Netzwe

rkumgebung

www.it-daily.net


Setzen Sie auf eine

starke Abwehr

• Endpoint Protection

Stand 20

logicalis.de


50

6

8

INHALT

4

COVERSTORY

4 Coverstory

Was ist heute schon sicher?

Wozu ein Password Safe nützlich sein kann

IT SECURITY

6 Analyse und Überwachung

Berechtigungskontrolle in Microsoft-

Umgebungen

8 Cybersicherheit 2020

Drei konkrete Bedrohungsszenarien

10 Hannover Messe

Die Transformation ist überall

12 Drei Herausforderungen – eine Lösung

ISMS, Notfallplanung & Datenschutz

21 Zero Trust

Sichere Netzwerkumgebung in Zeiten des

digitalen Wandels

22 Versteckte Bedrohungen aufspüren

Sicherheitsrisiken systematisch erkennen

24 Künstliche Intelligenz

Das Herzstück des Netzwerks

26 Eine Frage der Größe?

Wie tickt der Mittelstand in Sachen IT-Sicherheit?

28 Digitale Identitäten

So werden digitale Identitäten für Menschen und

Maschinen die nächsten Jahre prägen

30 IT & OT im Wandel

Cyberbedrohungen in der Fertigungsindustrie

18 Immer Ärger mit dem Passwort

Zero Trust ist die nächste Stufe

www.it-daily.net


4 | IT SECURITY

WAS IST HEUTE SCHON

WOZU EIN PASSWORD SAFE NÜTZLICH SEIN KANN

Sascha Martens, CTO & Cybersecurity

Evangelist bei MATESO im Gespräch mit

Ulrich Parthier, Publisher it security zum

Titelthema.

Ulrich Parthier: Wir hören immer

wieder von automatisierten Brute-Force-Angriffen,

die zum Ziel haben, Passwörter

zu stehlen. Wie groß schätzen Sie

die tatsächliche Gefahr ein?

Sascha Martens: Enorm. Heutige Angriffe,

bei denen auch Brute-Force-Angriffe

zum Einsatz kommen, werden immer intelligenter

und ausgereifter. Denn die

Technik entwickelt sich immer weiter und

die Angreifer schlafen nicht. Während

also die Welt aktuell vom Corona-Virus

spricht, hält das Viren-Trio Emotet, Trickbot

und Ryuk die IT in Atem.

Ulrich Parthier: Dabei ist das ja erst

der Anfang. Wenn Quantencomputer

erst einmal auf dem Markt sind, steigt

dann nicht das Diebstahlrisiko erheblich

an?

Sascha Martens: Quantencomputer werden

für den gesamten InfoSec-Bereich

eine ungemeine Herausforderung. Als

Spezialist für Verschlüsselungen beschäftigen

wir uns schon lange mit dem Thema

und untersuchen den Einfluss auf verschiedene

sicherheitsrelevante Bereiche.

Alle mit asynchronen Verschlüsselungs-Techniken

geschützten Daten und

SO SCHNELL WERDEN PASSWÖRTER GEKNACKT:

Beispielrechner mit 4 Milliarden Passwörtern pro Sekunde

inklusive Wörterbuch.

ca. 5 Sekunden

ca. 9 Stunden

ca. 485 Jahre

Übertragungswege sind hier besonders

gefährdet. Dabei geht es natürlich auch

wieder viel um zentrale Passwort- beziehungsweise

Zugangs-Lösungen.

Ulrich Parthier: Password Safe – hört

sich erst einmal sicher an. Können

Sie die Lösung, die sich hinter diesem

Namen verbirgt, erklären?

Sascha Martens: Password Safe ist sicher

– das ist unser Fokus und wir machen

bei der Sicherheit auch keine Kompromisse.

Natürlich lässt sich Sicherheit

nur durch diverse Mechanismen herstellen.

Als Beispiel können wir einen Blick

auf die Verschlüsselung oder auch

Back-End-Architektur im Vergleich zu anderen

Lösungen werfen: Während bei

den meisten Lösungen die Datenbank

verschlüsselt wird und ein Knacken dieser

zum Zugriff auf alle Geheimnisse

führt, ist bei uns jedes Geheimnis für sich

geschützt. Zudem werden die Daten Ende-Zu-Ende-geschützt

bis zur Verwendungsstelle

(dem Client) übertragen. Wir

vertrauen in puncto Sicherheit dabei

nicht nur auf unsere Erfahrung, sondern

setzen auch immer auf die Expertise externer

Spezialisten.

BELIEBT

EINFACH EIN PAAR ZAHLEN DAHINTER SETZEN:

passwordexample1:

passwordexample2:

passwordexample3:

passwordexample4:

passwordexample5:

Ulrich Parthier: Wie kann der Anwender

feststellen, ob sein Passwort

sicher ist oder, noch besser, zu wie viel

Prozent?

Sascha Martens: Bei der Passwort-Sicherheit

selbst gelten an sich super einfache

Regeln und eigentlich kann ein Passwort

gar nicht sicher genug sein! Password

Safe gibt dem User dabei immer sofort

Rückmeldung zu der Sicherheit des Passwortes.

Zudem können wir zentrale Berichte

für den User erstellen und einen

CISO oder Auditor damit versorgen.

www.it-daily.net


IT SECURITY | 5

SICHER?

Auch können eigens Passwort-Richtlinien

hinterlegt werden, um die Sicherheitsstufen

zusätzlich individuell zu erhöhen.

Ulrich Parthier: Können Sie einige

Szenarien für den Unternehmenseinsatz

skizzieren?

Sascha Martens: Uns ist wichtig, dass

wir nicht als die eine, wichtigste Sec-Lösung

wahrgenommen werden. Vielmehr

gehört Password Safe zum elementaren

Baustein in einer ganzheitlichen Sec-Strategie

– schließlich können wir als Experten

nicht jedes Gebiet abdecken. Somit

wird Password Safe als Password Management

Tool entsprechend für Admins

und End-Anwender und zusätzlich als

Credential Provider für andere Anwendungen

und zur Automatisierung notwendiger

Prozesse im Hintergrund eingesetzt.

Für die restlichen Themen bieten

wir die perfekte Schnittstelle und können

einfach an schon bestehende Systeme

wie etwa Security Information Management

Tools angebunden werden.

Ulrich Parthier: Auf den Punkt gebracht

bedeutet die sichere Kommunikation

durch Ende-zu-Ende-Verschlüsselung

(E2EE) …?

Sascha Martens: … den durchgängigen

Schutz der Daten. Es gibt einfach keine

Lücke zwischen Speicher- und Verwendungsort,

weshalb die Daten durchgehend

geschützt sind. Erst auf dem Client

wird das Geheimnis entschlüsselt und ein

Angreifer hat keine Chance.

Ulrich Parthier: Stichwort Segregation

of Duties und Privileged Accounts:

Wie sieht es mit der Rechtetrennung funktional

und technisch aus – macht diese

Trennung Sinn?

Sascha Martens: Ja, absolut. Allerdings

müssen alle Privileged Accounts besonders

geschützt werden! Und aktuell werden

aufgrund von Dokumentationspflicht

und im Sinne der Nachvollziehbarkeit

immer mehr Privileged Accounts angelegt.

Mit so genannten named Accounts

erhält jeder User, der einen Verwaltungsauftrag

haben könnte, einen solchen Account.

Damit ist immer nachvollziehbar,

wer welche Änderungen durchgeführt

hat. Wir können mit Sicherheitsfunktionen

an vielen Stellen zurück auf generische

Accounts gehen und dadurch die

Angriffsfläche massiv verringern.

Ulrich Parthier: Wie sehen diese Sicherheitsfunktionen

aus? Kann man

Passwörter noch besser schützen?

Sascha Martens: Definitiv. Zum Beispiel

kann ein Passwort, das von mehreren

Personen genutzt werden muss, ausschließlich

von einer Person verwaltet

werden. Alle anderen können es wiederum

nutzen, ohne es gesehen zu haben.

Bei besonders sensiblen Accounts kann

als zusätzliche Hürde die Genehmigung

eines Verantwortlichen als erforderliche

Maßnahme ergänzt werden, um ein

Passwort verwenden zu können.

Ulrich Parthier: Gibt es so etwas wie

eine Historie und/oder Versionsnachverfolgung

für Auditing-Zwecke?

Sascha Martens: Alle Aktionen innerhalb

von Password Safe werden im Logbuch

dokumentiert. Aus diesen Informationen

generieren wir aktive Benachrichtigungen

und ein Admin oder Auditor kann

das Nutzer-Verhalten analysieren. Die

Benutzer können natürlich auch auf

alle alten Versionsstände zurückgreifen.

Gerade zur Umsetzung von DSGVO-

MIT ÜBER 20 JAHREN ERFAH-

RUNG SIND WIR DIE EINZIGE

ENTERPRISE LÖSUNG, DIE

ON-PREM BEIM KUNDEN

ODER IN DER CLOUD BE-

TRIEBEN WERDEN KANN,

SICH ABER AUF JEDEN FALL

IMMER NACH EINER COOLEN

CLOUD-LÖSUNG ANFÜHLT!

Sascha Martens,

CTO & Cybersecurity Evangelist, MATESO,

www.passwordsafe.de

Richtlinien sind diese Funktionen maßgebend.

Ulrich Parthier: Welche besonderen

Features unterscheiden Password

Safe von anderen Produkten?

Sascha Martens: Ich denke, dass wir uns

besonders durch unsere konsequente Haltung

zum Thema Sicherheit differenzieren.

Mit über 20 Jahren Erfahrung sind

wir die einzige Enterprise Lösung, die

On-Prem beim Kunden oder in der Cloud

betrieben werden kann – volle Kontrolle

also – sich aber auf jeden Fall immer

nach einer coolen Cloud-Lösung anfühlt!

Ulrich Parthier: Herr Martens,

wir danken für das

Gespräch!

THANK

YOU

www.it-daily.net


6 | IT SECURIT

TY

BER

ECHTIGUNGSKONTR

GS

NTROLLE IN MICROSOFT-UMGEBUNGE

GEN

Systemadministratoren haben zahlreiche

Aufgaben zu bewältigen. Dabei ist es

wichtig, die IT-Sicherheit stets im Blick zu

behalten. Arbeiten sie innerhalb einer Microsoft-Umgebung,

gehört dazu auch die

Überwachung der Richtlinien und Benut-

zerkonstellationen in dem Active Directory

(AD) und den NTFS-Fileserversystemen.

Um auch bei großen Umgebungen nicht

den Überblick zu verlieren, unterstützentützen

geeignete Softwarelösungen bei der de-

taillierten Auswertung und grafischen

Darstellung der Berechtigungsvergaben

im Bereich AD und NTFS.

Kommt keine derartige Software zum Ein-

satz, müssen AD-Objekte und Fileser

-

ver-Strukturen en manuell analysiert und auf

Konformität geprüft werden. Dies ist äu-

ßerst aufwendig und birgt hohes Fehler

-

potenzial. Damit es zu keinen falschen

Benutzerkonstellationen erk nstellationen kommt, die

die

IT-Sicherheit gefährden, ist daher eine

softwarebasierte erte Auswertung der Zugriffs-

berechtigungen anzuraten. Bei der Aus-

wahl einer solchen Lösung gilt es jedoch,

einige Anforderungen zu beachten.

Wesentliche Features

Zunächst ist es essenziell, dass sich die

Software ohne zusätzliche Dienstleistunn

-

gen einfach installieren und konfigurie-

ren lässt. Dazu sollte das Tool in der Lage

sein, die Zugriffsberechtigungen der ein-

zelnen Benutzer er und Gruppen innerhalb

der firmeninternen n Microsoft-Infrastruktur

zu identifizieren und zu erfassen. Nach

der Analyse der zentralen Benutzerda-

tenbank (AD) sowie der Microsoft-Datei

-

MODERNE LÖSUNGEN

SOLLTEN EIN BENUTZER-

FREUNDLICHES WEB-DASH-

BOARD INTEGRIEREN,

DAS INFORMATIONEN ÜBER-

SICHTLICH DARSTELLT.

Sebastian Spethmann,

Account Manager, G+H Systems

www.daccord.de/microsoft

systeme e (NTFS) können die ermittelten

Daten zur Visualisierung in ein leistungs

-

fähiges Datenbanksystem anksyst

importiert

wer

-

den. Gleichzeitig erfolgt auf Basis

s von

hinterlegten Policies eine automatisierte

Überprüfung der Berechtigungen

auf

Konformität ormität zu Best-Practice-Vorgaben.

en

So lassen sich Abweichungen feststellen en

und korrigieren.

Alle Infos auf einen Blick

Moderne Lösungen sollten ein benutzer

-

freundliches Web-Dashboard integrie-

ren, das Informationen übersichtlich dar

-

stellt. Dabei ist eine personalisierte Sicht

auf die entsprechenden Analyseinforma

-

tionen und Hinweise bezüglich Abweichungen

von Best-Practice-Richtlinien von

Vorteil. Aus dem AD sollten beispielswei-

se aktive Benutzerkonten, vorhandene,

geschachtelte el

oder leere Gruppen und

Gruppenmitgliedschaften sowie deren

Berechtigungsvergabe angezeigt wer-

den. Der zusätzliche Abgleich mit einem

vorhandenen Personalsystem gestattet es

hierbei zu validieren, ob Mitarbeiter

noch aktiv sind, um Zugriffsrechte ent-

sprechend managen zu können, „Karteileichen“

zu entfernen oder neue Berechtigungen

festzulegen.

Neben den Benutzerinformationen soll-

ten auch NTFS-Filesysteme bis auf Datei-

ebene visualisierbar und deren Zugriffsund

Freigabeberechtigungen sichtbar

sein. Auf diese Weise e lässt sich sofort

erkennen, welche Shares auf welchen

Servern angeboten werden und welche

User beziehungsweise ise Gruppen darauf

Zugriff haben. Greift hier ebenfalls en die

Auswertung gemäß Policy ein, sind et

-

waige Missstände sofort erkennbar.

Skalierbarkeit

Ein weiterer wichtiger Aspekt ist die Ska-

lierbarkeit. So sollte es möglich sein,

auch Systemumgebungen mit sehr gro-

ßen AD- und Fileserverstrukturen zu ana-

lysieren, bei denen große Datenmengen

anfallen können. Weder die Datenerhe-

bung noch deren Abspeicherung in der

benutzten Datenbank dürfen hier zu Eng-

pässen bei der Speichergröße röß oder zu

Performance-Problemen führen. Dazu

sollte eine performante e Datenbank zum

Einsatz kommen, die hinsichtlich der ein-

zulesenden Datenstrukturen und der Ver

-

gleichs- beziehungsweise Auswertungs-

leistung optimiert ist.

Sebastian Spethmann

www.it-daily.net


IT SECURITY – ADVERTORIAL | 7

sung kombiniert t. Die Business-Suite

lässt sich laut Anbiet

er lei

eich

ht in bestehen-

de Infrastrukturen int

ntegri

eren

en

.

IDENTITY MANAGEMENT MIT LASTPASS

Ein paara Tatsach

chen

für

IT

-Verantw

ortliche

Diese Ergebnisses aus dem LastPass Sicherheitsreport

sollten IT-V

erantwortliche

kennen:

Durch die Vielzahl

von Anwendu

ng

en

und Ge

räten, die im ge

samten Unternehmen

im Einsatz sind, ist es fa

st unmöglich

,

den Über

erbl

ick darüber zu beh

alten, wer

wo und wan

n worauf zugreift. Gan

z kl

ar

:

Die neuen Stru

kturen, die durch „New

Work“ unsere

ren Ar

beitsalltag bestimme

men,

stellen neue Anf

orderungen auch an die

IT-Sicherheit. Fak

aktoren wie mobile Endgeräte,

Bring-your-own-device, neue Apps

und Home Office erfordern meh

ehr Kontrolle

für die IT aber gleichzei

eiti

g einfache

Handhabung für die Mit

itar

beiter - also

weitreichendere Sicher

heit, ohne dam

it

Nutzer zu frustrieren oder

bei der täglichen

Arbeit zu behindern. LastPass Identity

ist dafür die All-in-one Lösung, die alle

wichtigen Funktionen

bietet:

Identitätsmanagement

Passwortmanagement

Multifaktorauthentifizierung

g

Single Sign On

IDaaS als Lösung

Identity-as-a-Service (IDaaS) von LastPass

bietet eine Authentifizierungs-Infrastruk-

tur, die Unternehmen als Managed Ser-

vice abonnieren. Die 2019 bei den Cy-

berSecurity Breakthrough Awards als

„Overall ID Management Solution of the

Year“ ausgezeichnete Lösung bietet reibungslose

Abläufe und eine einfache Bereitstellung

durch eine zentralisierte Ansicht

für Mitarbeiterzugriff und Authentifizierung.

Durch die Nutzung biometrischer

und kontextueller Faktoren bietet sie

Mitarbeitern passwortfreies Arbeiten oh-

ne

zus

ätzl

iche Kom

plexität. Un

d: IT-

T-Si

-

cherheit

itsexper

er

ten verwalten

alle Zug

ugriffspunkte

transparent in ei

ne

r Lösung ohn

e

umständliche

s Hi

n- und

Her

erwe

ch

seln.

Un

ternehmen integrieren die Lösu

sung

in

ihre vorhandene Infrastruktu

r und haben

sofort die Kontrolle über ihr Business. Last-

Pass ermöglicht Unternehme

n jede

r Größe

ein vollständiges, sicheres Ide

nt

itätsmanagement

aus der Cloud.

Die

erweiterte LastPass-Business-Suiu te

besteht aus LastPass Enterprise, das neb

en

der Passwortverwaltu

tung eine Single-S

ignon-(SSO)-Lösung

samt Kat

atala og von 1.200

Anwendungen umfasst, aus der

Multifak-

tor-Authentifizierungslösung (MFA

FA) Last-

Pass MFA, die biometrische und kontext

xtu-

elle Authentifizierungsfaktoren n nutzt, so-

wie aus LastPass Identity, das Passwortverr

-

waltung, SSO

und MFA in eine

r einzigen

Mehr als 50 Prozent der Un

ternehmen

auf der ganzen Welt setz

en bereits

Multifaktor-Authentifizierung für ihre

Mitarbeiter ein.

IT-Administratoren nutzen Ri

chtlinien

(wie

etwa DSGVO) als Anlass fü

r mehr

Sich

cherheit und optimiertes Man

age-

me

nt, es kön

nten insgesamt aber mehr

Admi

mins

die Nutzung der Multi

tifa

k-

tor-Authen

tifizierung vorschreiben.

Die Möglichkeit Passwörter auf Mob

il-

ge

räten abzurufen,

führt zu besser

eren

Nutzer-Erfahrungen

en

und

höherer Mit

-

ar

rbeit

iter

nutzun

ung.

Hier finden

Sie

weitere int

eres

essante Infor-

mation

en zu La

stPass:

www.lastpw

w

tpass

ss.com

w

www.it-daily.net


8 | IT SECURITY

CYBERSICHERHEIT 2020

DREI KONKRETE BEDROHUNGSSZENARIEN

Jedes Jahr erstellt Cybersecurity-Hersteller

Stormshield eine Analyse der Tendenzen,

die sich für das angebrochene Jahr

abzeichnen. Auf den Prüfstand werden

selbst schwache Angriffssignale aus dem

Vorjahr gestellt, die jüngsten Branchenanalysen

und die Meinungen der Stormshield-Sicherheitsspezialisten.

Daraus resultiert

ein Ausblick für 2020 mit drei auf

Industrieumgebungen zugeschnittenen

Hypothesen und Szenarien, die alles andere

als realitätsfremd sind.

Die Malware

1. von morgen ist heute

bereits am Werk

„Die Cyberkriminalität wird allmählich

zum Massenphänomen“, so der Geschäftsführer

der französischen ANSSI

(wie unser BSI) in einem Interview über

die Entwicklungen im Jahr 2019. Ein

Jahr, in dem sowohl komplexe, gezielte

und hochwirksame Cyberangriffe gegen

große Fernsehsender, Krankenhäuser

und Industrieanlagen kursierten, als auch

für großflächigere Angriffe entwickelte

Malware wie LockerGoga und Ruyk.

Selbst die Folgen der manchmal von den

Staaten unterstützten Cyberkriminalität

wurden der Öffentlichkeit spätestens im

März 2019 deutlich gemacht, als die

USA einen Angriff auf ein venezolanisches

Kraftwerk ausübten.

2020 WERDEN WIR SEHR

WAHRSCHEINLICH NOCH

HÄUFIGER ATTACKEN AUF

DIE LEBENSMITTELINDUSTRIE,

SOWIE AUF DEREN ZULIEFE-

RER ODER GAR KUNDEN

VERZEICHNEN.

Uwe Gries,

Country Manager DACH, Stormshield,

www.stormshield.com

Im November 2019 wurde durch eine

Studie nachgewiesen, dass gewisse

Schwachstellen seit über zehn Jahren

und noch heute von Cyberangreifern

ausgenutzt werden. Einigen betroffenen

Unternehmen sind die Sicherheitslücken

in ihrem System bekannt, jedoch können

oder dürfen die entsprechenden Anwendungen

nicht ausgetauscht werden, wie

etwa im Gesundheitswesen oder im Finanzsektor,

wo Anwendungen zum Einsatz

kommen, die nur auf veralteten Betriebssystemen

laufen. In der Industrie

werden ebenfalls gewisse Bestandteile

der Hardware weiterverwendet, obwohl

sie veraltet sind. Dadurch erhöht sich das

Risiko, einem Angriff zum Opfer zu fallen,

der schon Jahre zuvor initiiert wurde.

Daher die Frage: Potenziert das Alter der

Schwachstellen ihr Schadenspotenzial?

2020 dürfte uns Antworten bringen.

Mögliche Szenarien für 2020:

Wie bei latenten Viren im menschlichen

Körper sind einige Angriffsvektoren bereits

vor Jahren in empfindlichen Computersystemen

installiert worden. Es ist daher

leicht, Hypothesen aufzustellen, in

denen bestimmte Schlüsselsektoren (Gesundheit,

Nahrungsmittel, Energie) mit

seit Jahren inaktiver Malware infiziert

worden sein könnten (APT = Advanced

Persistant Threats). Ebenso einfach ist es,

die katastrophalen Folgen zu hypothetisieren:

Was würde passieren, wenn mitten

in der Nacht alle weltweit verteilten

Produktionsstätten eines großen lebensmittelverarbeitenden

multinationalen Unternehmens

gleichzeitig gestoppt würden?

Es würde Wochen dauern, das

Problem zu identifizieren und lösen. Die

Produktion würde eingestellt und alle verderblichen

Waren weggeworfen werden.

Ein katastrophales Bild in den

TV-Nachrichten und der sichere finanzielle

Ruin wären die Folge.

Die wahrscheinliche Quelle eines solchen

Unfalls? Eine erfolgreiche Phishing-Kampagne,

die Jahre zuvor durchgeführt

wurde, wodurch mehrere Firmennetzwerke

mit latenter Malware infiziert

wurden. Diese Schadsoftware konnte

sich unbemerkt lokal auf alle Endgeräte

mit älteren Windows-Versionen verbreiten

und wird nach Jahren per Fernzugriff

aktiviert. Da sie bereits auf allen Terminals

vorhanden ist, ist es nicht mal hilfreich,

die Geräte im Notfall vom Netz zu

trennen. Und alle sitzen vor schwarzen

Bildschirmen.

Generalisierte Cyberan-

2.

Im April 2019 wurde der französische

Branchenriese Fleury Michon Opfer einer

erfolgreichen Cyberattacke und

musste fünf Tage lang alle Tätigkeiten einstellen.

Im Dezember 2019 waren die

italienische Feinkostmarke Fratelli Beretta

und der belgische Bierbrauer Busch an

der Reihe, als sie mit der Ransomware

Maze erpresst wurden. Die Nahrungsmittelindustrie

scheint mehr denn je Begehrlichkeiten

von Cyberangreifern jeder

Art zu wecken.

www.it-daily.net


IT SECURITY | 9

Mögliche Szenarien für 2020:

Ein hypersensibler Sektor, eine größtenteils

automatisierte Produktionskette und

eine Qualitätssicherung, die eine der

Säulen der Branche ist: Hier sind alle Elemente

vereint, die die Lebensmittelindustrie

auch in den nächsten Jahren zu einer

mit hohen Risiken behafteten Branche

machen.

Ganz gleich, ob die Cyberangriffe von

staatlich geförderten Akteuren (Reaktion

auf einen offenen Konflikt) oder von Cyberterroristen

(Angriff auf Bevölkerungsgruppen

mit gesundheitsgefährdenden

Lebensmitteln) ausgehen, 2020 werden

wir sehr wahrscheinlich noch häufiger

Attacken auf die Agrar- und Lebensmittelindustrie

sowie auf deren Zulieferer oder

gar Kunden verzeichnen.

Ein guter alter USB-Stick oder eine Phishing-Kampagne

reichen, um einen Arbeitsplatz-PC

zu infizieren und ins Netzwerk

einzudringen. Einige der großen

Konzerne haben dieses Szenario bereits

in Betracht gezogen und wirksame Schutzmaßnahmen

für ihre Produktionsanlagen

ergriffen (zum Beispiel durch eine Segmentierung

der Netzwerke). Kleine und

mittlere Unternehmen dieser Branche

scheinen hingegen anfälliger für diese Cyberangriffe

zu sein, die hohe finanzielle

Verluste und katastrophale Auswirkungen

auf ihr Image zur Folge haben.

Deep-Fake als

3. Brecheisen

Zahlreiche Softwarehersteller

sind der Ansicht, dass 2019 der Anteil

von Phishing an den meist genutzten Angriffsvektoren

zunahm. Die eingesetzten

Methoden entpuppten sich sogar teilweise

aufgrund ihrer Komplexität zu einer

echten Herausforderung, etwa mit falschen

404-Seiten oder Web-Portalen, die

von Google indexiert wurden oder mit

telefonisch von Geschäftsführern erteilten

Aufträgen, die keine waren. Berichtet

wurde sogar von Phishing-Kampagnen,

die als Mitarbeiterbeurteilungsbögen getarnt

waren (Quelle: Kaspersky Frankreich).

Alles „Deep Fakes“, eine Bedrohung,

die 2019 sehr deutlich wurde.

Mögliche Szenarien für 2020:

Die Einführung des „Deep Fakes“ in das

Arsenal der Cyberkriminellen ist eine

echte technische Herausforderung hinsichtlich

Vorbeugung und Sicherheit. Es

sind sogar Verbreitungsformeln wie

„Deep Fake as a Service“ denkbar, die

eine deutliche Steigerung der Effizienz

dieser Angriffsvektoren bewirken würden.

Eine Bedrohung, die man durchaus

ernst nehmen sollte. In seiner Studie prophezeit

das Marktforschungsinstitut Forrester

für das Jahr 2020 Schäden in

Höhe von 250 Millionen US-Dollar aufgrund

von Deep-Fake-Attacken. Dabei

erweist sich die Entwicklung eines

glaubwürdigen „Deep Fakes“ als äußerst

komplex und kostspielig. Der Kostenfaktor

könnte deshalb die erwartete

Explosion der „Deep Fakes as a Service“

relativieren. Doch gilt dies gleichermaßen

für Cyberkriminelle, die

über umfangreichere Mittel als zum Beispiel

ein Staat verfügen? Oder für unabhängige

Spezialisten?

All dies lässt vermuten, dass 2020 das

Jahr des mehrstufigen Phishings sein

wird. Mit einfachen Kampagnen, die mit

bereits bekannten Techniken auf die Gutgläubigkeit

der Zielpersonen setzen, und

komplexeren Kampagnen, die die aktuellsten

Technologien nutzen, um auch erfahrene

Profis hinters Licht zu führen.

Uwe Gries

Foto: 123rf.com | Olivier Le Moal

www.it-daily.net


10 | IT SECURI

RITY

HANNOVER MESSE

DIE TRANSFORMATION IST ÜBERALL

Die industrielle Transformation ist bestimmt

durch die Megathemen Digitalisierung,

Individualisierung, Klimaschutz

und demographischer Wandel. Darüber

hinaus steht die Industrie vor großen wirt-

schaftspolitischen Herausforderungen

wie Handelskriege, Nationalismus oder

die zunehmend ungerechte Verteilung

des Wohlstands. Die HANNOVER MES-

SE ist gerade in Zeiten des Umbruchs

wichtigere denn je, denn sie ist die welt-

weit einzige Plattform, die die industrielle

Transformation in all ihren Facetten abbildet.

Impulse

In dieser einen Woche im April 2020

geben rund 6 000 Aussteller zukunftsorientierte

Impulse für eine global und

digital vernetzte Industrie. Von Industrie

4.0, künstlicher Intelligenz und Robotik

bis hin zu Leichtbau, Logistik und Sicher-

heit umfasst die Themenreihe alles, was

die Industrie vorantreibt.

Beispielweise finden Besucher ein breites

Angebot an Lösungen zur Sicherung der

IT-Infrastruktur. Von der Absicherung sensibler

Schnittstellen im Industriebereich

bis hin zur Vernetzung hochkritischer Inf-

rastrukturen, die zuverlässig verschlüsselte

Datenkommunikation via Internet,

Fernwartungs-Systeme sowie Remote Access-Lösungen

für mobile Mitarbeiter er-

möglichen.

Dabei gewinnen IT und Software für industrielle

Anwendungen immer mehr an

Bedeutung. Denn um eine smarte und

flexible Fertigung sicherzustellen, müssen

Maschinen und Systeme Daten autonom

austauschen. Und das geht nur in

hochdynamischen Ökosystemen, die eine

vollständig individualisierte Produktion

ermöglichen – Sprichwort „Business-Plattformen“.

Auf der HANNOVER

MESSE sind die führenden Plattformanbieter

vertreten, darunter Atos, Amazon

Web Services, Dassault Systemes, Deut-

sche Telekom, IBM, Google, Huawei, Intel,

Microsoft, SAP und Software AG.

Potenzial

Auch der Bereich Sensorik bietet der Industrie

enormes Potenzial dank der

schnellen Übertragung von Daten aus

der Fabrikhalle in die Cloud. Die resultierende

echtzeitige Sammlung, Verarbeitung

und Analyse von solchen Daten er-

möglicht gut informierte Entscheidungen

seitens des Anwenders. Dabei kommt

das Thema Retrofitting ins Spiel, denn

mithilfe neuer Sensorik können Betreiber

ihre bestehenden Industrieanlagen umrüsten

und fit für die Zukunft machen.

Dadurch steigt die Produktivität und Kosten

sinken. Zu den Anbietern auf der

HANNOVER MESSE zählen Unternehmen

wie ABB, Endress+Hauser, ifm electronics,

JUMO, Pepperl+Fuchs, SICK,

Siemens oder Turck.

Expanded Reality findet immer häufiger

im industriellen Umfeld Anwendung, beispielweise

bei der Gestaltung von Triebwerken.

Brauchten Ingenieure zuvor Tage,

um die Parameter eines Entwurfes durchzurechnen,

liefert ein Algorithmus im gleichen

Zeitraum heute 2 000 Designs. Anschließend

können 3D-Modelle in einem

Virtual-Reality-Labor bis zur letzten Schraube

auseinandergenommen, vermessen

und zusammengesetzt werden.

Neugierig auf mehr? Dann besuchen Sie die

HANNOVER MESSE

vom 20. bis zum 24. April 2020.

Hier geht es zum Ticketshop:

https://bit.ly/31yNr3Y

www.it-daily.net


IT SECURITY – ADVERTORIAL | 11

UMFASSENDE

VERSCHLÜSSELUNG

E-MAIL-ANWENDUNGEN AUS DER CLOUD

Web- und Office-Programme aus der

Cloud bieten Optionen, um E-Mails zu

verschlüsseln. Warum sich dennoch eine

zusätzliche Lösung empfiehlt, lässt sich

am Beispiel von Microsoft Office 365

zeigen. Unternehmen gewinnen an Sicherheit

und Nutzerfreundlichkeit, wenn

sie totemomail einsetzen.

Vertraulichkeit und Integrität einer E-Mail

sind schützenswert. Verschlüsselung gewährleistet

beides, daher empfiehlt die

DSGVO ihren Einsatz.

Grundsätzlich lassen sich der Transport-

weg per TLS (Transport Layer Security)

und der Inhalt mit S/MIME (Secure/Multipurpose

Internet Mail Extensions) oder

PGP (Pretty Good Privacy) verschlüsseln.

Doch wie sieht das im weitverbreiteten

Microsoft Office 365 (O365) konkret

aus?

Das Feature, das eine Nachricht in der

Cloud verschlüsselt, nennt sich bei Microsoft

Azure Information Protection (AIP).

Die Mitteilung wird im E-Mail-Client des

Absenders verschlüsselt und an den Empfänger

gesendet. In Kombination mit der

TLS-Verschlüsselung ergibt sich zwar ein

hohes Sicherheitsniveau, allerdings hat

der Cloud Provider in diesem Fall Zugriff

auf die Schlüssel. Eine Alternative ist

S/MIME, damit kann der Provider nicht

auf das Schlüsselmaterial zugreifen.

Wenn O365-Nutzer E-Mails mit einem

S/MIME-Zertifikat auf ihrem Client ver-

schlüsseln, müssen sie ihre Schlüssel jedoch

selbst verwalten. Außerdem benötigt

der Adressat ebenfalls S/MIME, um die

verschlüsselten E-Mails lesen zu können.

Nutzerfreundliche

Kommunikation

Nutzerfreundlichkeit und Sicherheit ver-

eint erst eine zusätzliche E-Mail-Verschlüsselungslösung

wie totemomail. Sicher-

heitsspezialist totemo bietet eine in Office

365 integrierte Verschlüsselung. Die

Kommunikation innerhalb des Unternehmens

wird mit S/MIME abgeschirmt. So

wird Office 365 zum sicheren E-Mail-Speicher

in der Cloud. Zudem erhöht totemomail

die Nutzerfreundlichkeit, da es das

Schlüsselmanagement übernimmt. Für die

sichere Kommunikation nach außen stehen

S/MIME, OpenPGP, TLS und Microsoft

AIP (Azure Information Protection) zur

Verfügung. Falls Empfänger diese Technologien

nicht unterstützen, bietet totemo

mit WebMail und Registered Envelope

zwei alternative Methoden, mit denen sie

verschlüsselte E-Mails lesen können, ohne

über entsprechende Technik oder Knowhow

zu verfügen. Obwohl intern mit

S/MIME verschlüsselt wird, liefert die Lösung

dem Empfänger die verschlüsselte

Nachricht also immer in einer für ihn passenden

Form, so dass die Nutzerfreundlichkeit

für Absender wie Empfänger sehr

hoch ist.

Sicherer E-Mail-Speicher

totemo unterstützt auch bei der Migration

von einer On-Premises-E-Mail-Infrastruktur

in die Cloud. Mit seinem Ver-

schlüsselungs- und Migrations-Tool ver-

schlüsselt totemo bestehende Postfächer

und Ordner in der On-Premises-Lösung,

die meist im Klartext dort liegen. Anschließend

werden diese nun verschlüsselten

Nachrichten mit den Microsoft-Migrationstools

nach Office 365

migriert.

Irrtümer der E-Mail-Verschlüsselung.

(Quelle: totemo)

Lösung samt Tools und

Optionen testen

Mit einer Testlizenz können Unternehmen

die Lösung mit allen Funktionen

kostenlos ausprobieren. Für den operativen

Betrieb fallen Lizenzkosten pro interner

E-Mail-Adresse an. totemomail

lässt sich für O365 auf Wunsch bei

Azure hosten und im Managed Service

betreiben. Für welches Modell sich ein

Unternehmen auch entscheidet, eins

steht vorher fest: Die O365-Nutzer wer-

den mit totemomail E-Mails durchgehend

und nutzerfreundlich verschlüsseln,

weil die Sicherheitsmaßnahmen im

Hintergrund ablaufen.

Marcel Mock | www.totemo.com

www.it-daily.net


12 | IT SECURITY

DREI HERAUSFORDER

ISMS, NOTFALLPLANUNG & DATENSCHUTZ:

Die Zahl der Cyberattacken wächst seit

Jahren. Unternehmen erleben immer häu-

figer Angriffe auf ihre IT- und OT-Infra-

struktur. Ransomware-Angriffe nehmen

weiter zu und verursachen Schäden in

der „realen“ Welt. Die Frage ist also

nicht, ob es passiert, sondern wann es

das eigene Unternehmen treffen wird.

Die vergangenen Monate haben zahlrei-

che Unternehmen wieder Opfer von ge-

planten und ungeplanten Cyberattacken

werden en lassen. Wie in diversen Medien

bereits berichtet, hat es der aktuelle Trojaner

unter dem Namen „Ursnif“ auf Ac-

count-Daten wie Benutzernamen

und

Passwörter abgesehen. Die Geschäfts-E-

Mails wirken dabei so echt, dass es selbst

geübten Augen schwer fällt, die Fälschung

zu erkennen. Die immer besser werdende

Qualität solcher Spam- und Phishing-Mails

stellt die Sicherheit der Unternehmen vor

immer größere Herausforderungen. Mit-

arbeiter müssen also durch entsprechende

Richtlinien für solche Gefahren sensibili

-

siert und im Umgang mit potenziell ge-

fährlichen E-Mails geschult werden.

Eine weitere Gefahr: Angreifer nutzen oft

Niederlassungen oder Zweigstellen grö-

ßerer Unternehmen als Einfallstor. Übli-

cherweise ist die OT-Infrastruktur der

kleineren Standorte mit dem größeren

OT-Netzwerk verbunden. Bei Energiever-r

sorgern sind häufig die örtlichen Nieder-

lassungen (Überlandwerke und Gemein-

dewerke) mit dem regionalen Stromnetz

verbunden. Die Gefahr dabei: Ein erfolg-

reicher Angriff auf eine Zweigstelle oder

kleinere Energieversorger g

wirkt wie eine

Kettenreaktion enreaktion und kann verehrende Folgen

mit sich tragen, wie beispielsweise

einen überregionalen Stromausfall.

Informationssicherheit zum

Schutz der Unternehmenswerte

Behörden wie Unternehmen aller Grö-

ßenordnungen profitieren von der Einfüh-

rung und dem Einsatz eines ISMS. Viele

Unternehmen sind für das Thema jedoch

immer mer noch nicht bereit oder haben die

Notwendigkeit der Informationssicher-r

heit ausreichend verstanden. Tausende

Euros werden in moderne Technik inves-

tiert. Eine rein technische Absicherung

löst das Problem jedoch nicht. Denn die

Informationssicherheit ist losgelöst von

der Darstellungsform der schützenswer-

ten Informationen: auch schriftliche Ver-

träge, wichtige Dokumentationen oder

Inhalte aus Kundengesprächen können

schützenswert

sein.

Oft sind sich die Mitarbeiter also dem

Risiko für die IT bewusst. Anhänge von

unbekannten Absendern in E-Mails wer

-

den nicht geöffnet. Auf der Dienstreise in

der Bahn werden jedoch vertrauliche Do-

kumente gelesen, sensible Informationen

auf dem Laptop angezeigt oder lautstark

telefoniert. Was nützt mir also die beste

Technik, wenn der Mensch, der sie be-

dient nicht ausreichend geschult ist, nicht

genug Zeit hat oder die Zuständigkeit

unklar ist. Wenn das Betreiben meines

Kerngeschäfts jedoch davon abhängig

ist, muss ich als Unternehmen die ent-

sprechenden organisatorischen Maß-

nahmen ergreifen, damit dies gewähr

-

leistet wird.

Software-Bundle als dauerhafte

Unterstützung

Ob BSI IT-Grundschutz oder DIN ISO/

IEC 27001: Die Einführung eines ISMS

nach nationalen oder internationalen

Standards ist eine komplexe Aufgabe. Je

nach Branche und Organisation müssen

beim IT-Grundschutz über 1.500 Anfor-

derungen erfüllt und bei mangelhafter

Umsetzung durch geeignete ete Maßnah-

men beseitigt werden. Bei der DIN ISO/

IEC 27001 sind es im Vergleich nur et-

was mehr als 100 Anforderungen. Je

nach Unternehmensgröße ehmensgröße und der Vor-

gehensweise bei der Einführung eines

ISMS kann sich das Projekt über mehrere

Jahre hinziehen. hen. Mit einer entsprechen-

www.it-daily.net


IT SECURITY | 13

UNGEN

– EINE LÖSUNG

MIT SOFTWARE-EINSATZ ZUM ERFOLG

den Tool-Unterstützung lässt sich der Ar

-

beitsaufwand jedoch deutlich minimie

-

ren, sowohl bei der Einführung als auch

im täglichen Betrieb. Zwar mögen die

Anschaffungskosten beim Erwerb einer

Softwarelösung die Management-Ebene

davor zurückschrecken lassen, die Vor

-

teile liegen jedoch auf der Hand:

Zentrale Plattform für das Managen

von Informationssicherheit,

Notfallplanung und Datenschutz:

Die Daten werden an einer Stelle ge-

pflegt. Gibt es zum Beispiel Änderungen

beim Personal, muss die Änderung nur

einmal erfasst werden und wird überall

automatisch übertragen.

Dokumentenverwaltung für

Leit- und Richtlinien inklusive

Vorlagensystem, Dokumentenlenkung

und Freigabeverfahren:

Vorlagen für eine Informationssicherheits-

leitlinie werden mit der Lösung ausgelie-

fert und können entsprechend angepasst

werden. Leit- und Richtlinien können di-

rekt in der Lösung erstellt und über das

Freigabeverfahren erfahren den entsprechenden

Verantwortlichen zur Verfügung gestellt

werden. Wenn der Revisionszeitraum abgelaufen

ist, werden automatisch der

Autor sowie die freigebenden Personen

benachrichtigt. chtigt. Diese können dann ent-

weder das Dokument anpassen oder di-

rekt eine erneute Freigabe anstoßen.

Umfassendes und integriertes

Risikomanagement:

Unternehmenswerte wie Informationen,

Prozesse, Personal oder Infrastruktur, die

jeweils dem gleichen Risiko zugeordnet

sind, lassen sich in Gruppen zusammen

-

fassen. Eine Risikoanalyse findet damit

pro Gruppe statt und minimiert die Ana

-

lysemaßnahmen. Wiederkehrende Behandlungsprozesse

zur Risikoakzeptanz,

Risikominimierung und Risikovermeidung

können effizient über das Aufgabemanagement

verwaltet werden. Die erstellten

Maßnahmen zur Risikobehandlung

werden über das Aufgabenmanagement

gesteuert. Die Risikomatrix ist dynamisch.

Organisationen können die Risikometho-

de im System auf ihre individuellen Be-

dürfnisse anpassen.

Intelligentes Auditmanagement

vollständig integriert:

Ein integriertes rtes Modul macht eine ganz-

heitliche Abwicklung von Audits mit über

-

sichtlicher und benutzerfreundlicher Dar

-

stellung sowie einer automatisierten

Berichtserstellung ellung möglich. Ein standardi

-

siert durchgeführter Auditprozess verein

-

facht die Planung, Durchführung, Bewer

-

tung und Anpassung von Auditpro

-

grammen und ermöglicht eine ordnungs-

gemäße Dokumentation. Die erkannten

Abweichungen werden in die Risikoana-

lyse übertragen und können dort durch

den Verantwortlichen bewertet und durch

entsprechende Maßnahmen korrigiert

werden.

Aufgabenverwaltung mit

Mailing-Funktion:

Die angelegten egten Aufgaben und Maßnah-

men werden übersichtlich in einem Kaet

und gesteuert. Dafür

kann nach unterschiedlichen Kriterien

lender verwaltet

gefiltert und der Bearbeitungsfortschritt

der Aufgaben eingesehen werden.

Fazit

Unternehmen sollten sich auf den Ernst-

fall vorbereiten. Denn früher oder später

kann eine Cyberattacke jedes Unternehmen

treffen. Mit dem Einsatz einer ISMS-

Lösung sparen Unternehmen ehmen Geld, Zeit

UNTERNEHMEN SOLLTEN SICH

AUF DEN ERNSTFALL VORBE-

REITEN. DENN FRÜHER ODER

SPÄTER KANN EINE CYBERAT-

TACKE JEDES UNTERNEHMEN

TREFFEN.

Jens Heidland, Leiter Produktion,

CONTECHNET Deutschland GmbH,

www.contechnet.de

und vor allem Nerven. Mit einer solchen

Lösung erhält der Anwender ein zielori-

entiertes es Werkzeug, das ihn in die Lage

versetzt, selbst die Einführung und die

Pflege eines ISMS in die Hand zu neh-

men. Dokumentenvorlagennvorlagen ersparen Ar

-

beit und Hilfestellungen machen die komplizierten

Normtexte verständlich. So

können Verantwortlichkeiten übersicht-

lich festgelegt, Infrastrukturen einfach

verknüpft und Risiken schnell identifiziert

sowie minimiert werden. Mitarbeiter

werden im Arbeitsalltag unterstützt

und

auch im Ernstfall ist das Unternehmen

weiter handlungsfähig.

Eines der wesentlichen Mehrwerte ist jedoch,

dass eine solche Softwarelösung

nach der Implementierungsphasese die

tägliche Arbeit erleichtert. Damit ist die

Organisation ation in der Lage, ein ISMS nicht

nur einzuführen, sondern den gesamten

Managementprozess lückenlos zu leben

– denn darauf kommt es an!

Jens Heidland

www.it-daily.net


14 | IT SECURITY

PRIVILEGED

ACCESS MANAGEMENT

ZUKUNFTSSICHERE UNFT S INVESTITION IN NEUE E

TECHNOLOGIEN

OGI

CyberArk präsentiert e eine Blaupause ause

für

ein erfolgreiches eiches Privileged

Access s

Ma

-

nagement. Sie soll Unternehmen dabei

helfen, einen zukunftssicheren, u sichere

n mehrstufi

-

gen Ansatz zur Verringerung der Risiken

im Zusammenhang an mit privilegierten

en

Rechten zu verfolgen.

Die Erfahrungen n der

CyberArk Labs sowie

aus Red-Team- und Incident-Response-Pro

nt-Respons se -

jekten von CyberArk zeigen en eindeutig,

eut dass fast jeder zielgerichtete eri e Cyber-An

-

griff einem ähnlichen he Muster

folgt: der

missbräuchlichen h

Nutzung privilegierter

er

Zugangsdaten. Auf dieser Erkenntnis ntnis nis

basieren

die drei Leitprinzipien pien der neuen

Blaupause: Unterbindung des Diebstahls

von Zugangsdaten, Verhinderung von seit

-

lichen und vertikalen Bewegungen des An

-

greifers im Netzwerk sowie Begrenzung

von Privilegienvergabe und -missbrauch.

Die Blaupause verfolgt einen einfachen,

präskriptiven Ansatz, um das Risiko eines

Diebstahls und Missbrauchs von privilegierten

Zugriffsrechten zu reduzieren.

Dabei werden gleichermaßen interne

und externe Angriffswege bedacht. Unternehmen,

die die Cloud, SaaS, DevOps

oder RPA nutzen, können mit den CyberArk-Empfehlungen

Quick Wins realisieren,

sukzessive weitere Anwendungsfälle

adressieren und ihre Sicherheitsmaßnahmen

bei Projekten der Digitalen Transfor-r

mation kontinuierlich anpassen.

Zentrale Komponenten

Verhinderung des Diebstahls privilegierter

Zugangsdaten: Zur Beseitigung

interner und externer Risiken

müssen Unternehmen in einem ersten

Schritt den Diebstahl kritischer Credentials

unterbinden; dazu gehören die Daten

von IaaS-Administratoren, ren, Domain-Admi

mi-

nistratoren n oder API-Schlüsseln, sel

die

ein

Angreifer für

eine Ausbreitung

im Netz

-

werk oder die Kompromittierung omittieru

zentra

-

ler Infrastruktur-Accounts ruktur-

counts nutzen

kann.

Durch das Entfernen ne en

von

hartkodierten

Credentials, die

Implementierung

mentieru

von

Session-Isolierung s erung

und eine Lösung zur

Diebstahlserkennung serkenn

nu

können Unterneh

-

men privilegierte erte

Zugriffe fe sowohl

ohl durch

Personen als auch durch

Applikationen

sowie in CI/CD-Pipelines CD

i

schützen.

Unterbindung von seitlichen und

vertikalen Bewegungen des Angreifers

im Netz: Um einen en Zugriff

von nicht vertrauenswürdigen Personen

en

oder Geräten auf unternehmenskritische

eh e

Cloud-Konsolen oder Domain-Controller

n

zu verhindern, ern, sollten im Privileged ileged

Ac

-

UNABHÄNGIG VOM REIFE-

GRAD DES PRIVILEGED-AC-

CESS-MANAGEMENTS EINES

UNTERNEHMENS ERMÖG-

LICHT DIE BLAUPAUSE EINE ZU-

KUNFTSSICHERE INVESTITION

IN NEUE TECHNOLOGIEN.

Michaeö Kleist, Regional Director DACH,

CyberArk, www.cyberark.com

cess s Management ent Just-in-Time-Methoden

genutzt werden – mit einer temporären,

bedarfsabhängigen Vergabe von privi-

legierten erten Zugriffsrechten.

Begrenzung von Privilegienvergabe

und -missbrauch: Um Angrei

-

fer am Missbrauch von Privilegien ien zu

hindern und die Angriffsfläche fläche

insgesamt

zu verkleinern, rn, müssen strikte te

Least-Privi

-

lege-Prinzipien e gelten; Verhaltensanaly

-

sen können n darüber hinaus auf Missbrauchsgefahren

ahren

hinweisen.

isen

Die Blaupause us von CyberArk beinhaltet

Templates und Roadmaps, mit denen

Unternehmen e jeder er Größe in reglemen-

tierten oder nicht reglementierten emen Bran-

chen die privilegierten Zugangskontrol-

len und

die Privileged-Access-Manage

-

ment-Strategie nach und nach aufbauen

und erweitern können.

Fazit

„Die einfache, aber gleichzeitig umfassende

Blaupause bietet eine hersteller-r

neutrale Anleitung, die Privileged-Access-Management-Initiativen

eng mit einer

Risikoreduzierung verzahnt und Unternehmen

damit hilft, ihre größten

Sicherheitsprobleme so schnell wie möglich

zu lösen“, betont Michael Kleist,

Regional Director DACH bei CyberArk.

„Unabhängig vom Reifegrad des Privileged-Access-Managements

eines Unter-

nehmens ermöglicht die Blaupause eine

zukunftssichere Investition in neue Technologien.

Das Ergebnis ist eine kurzund

langfristige Verbesserung der Sicherheit,

eine Verringerung der Angriffsfläche

und eine Optimierung der betrieblichen

Effizienz.“

www.cyberark.com/Blueprint

www.it-daily.net


ADVERTORIAL – IT SECURITY | 15

ALLES AUS EINER HAND

GANZHEITLICHES KONZEPT FÜR MEHR SICHERHEIT

Heutzutage stellt sich längst nicht mehr

die Frage, ob, sondern wann ein Unternehmen

Opfer eines Cyber-Angriffs wird.

Das gilt für große Konzerne genauso wie

für kleine und mittelständische Unternehmen,

die meist über keine allzu hohen

Sicherheitsstandards verfügen. Eines der

jüngsten Opfer ist der belgische Webmaschinenhersteller

Picanol: Dessen gesamte

Produktion wurde aufgrund eines Ransomware-Angriffs

lahmgelegt und die

Cyber-Kriminellen stellten hohe Lösegeldforderungen,

um die Daten wieder freizugeben.

Damit Unternehmen wie diese sich vor

solchen Angriffen besser schützen beziehungsweise

darauf reagieren können,

sollte es trotz aller Vorkehrungen dazu

kommen, hat Konica Minolta mit seinem

360-Grad-Sicherheitskonzept ein ganzheitliches

Schutzkonzept entwickelt.

Die Cyber-Gefahren sind vielfältig: Angreifer

nutzen neben Ransomware zunehmend

intelligente Schadsoftware.

Auch intern lauern Bedrohungen: Nicht

selten sind es eigene Mitarbeiter, die

meist unbewusst Einfallstor für Attacken

sind oder wertvolle Informationen stehlen.

Gleichzeitig sorgen die EU-DSGVO

oder andere Compliance-Vorschriften für

steigende Anforderungen an den Informationsschutz.

Um einen angemessenen

und passenden Schutzgrad der Informationen

zu erzielen, ist eine strategische

Herangehensweise in punkto Sicherheit

notwendig, die Prozesse, Menschen und

Technologien berücksichtigt.

Alle Sicherheitsaspekte im Blick

Konica Minolta hat sein 360-Grad-Sicherheitskonzept

gezielt darauf ausgerichtet,

sensible Bereiche zu schützen.

Dazu gehören neben der IT-Infrastruktur

mit zum Beispiel dem Netzwerk, Servern

und Endgeräten, auch die angebundenen

Multifunktionssysteme sowie die Videoabsicherung

als auch die Mitarbeiter.

Auf Basis des 360-Grad-Ansatzes

wird zuerst eine Ist-Analyse durchgeführt

und im Anschluss mit dem Kunden der

Soll-Zustand definiert. Es folgen ein Maßnahmenkatalog

und die Umsetzung einzelner

Schritte. Neben der Definition einer

Sicherheitsstrategie, der Implementierung

von technischen und organisatorischen

Maßnahmen, ist es im Zuge des

Risikomanagements äußerst wichtig, die

IT auf Schwachstellen zu untersuchen

und diese vor allem zu verifizieren. Dies

geschieht unter anderem mit Hilfe von

Penetrationstests, die sowohl intern als

auch extern von Konica Minolta durchgeführt

werden. Da innerhalb einer Organisation

stetig Veränderungen stattfinden,

sollte dieser Prozess kontinuierlich

wiederholt werden. Darüber hinaus finden

professionelle Schulungen aller Mitarbeiter

statt, damit diese verstehen,

dass Informationssicherheit insbesondere

in Zeiten des rasant wachsenden Datenvolumens

und der steigenden Risiken

ein zentraler Erfolgsfaktor ist. Dazu müssen

Mitarbeiter alle Informationsstandards

kennen und wissen, was bei einem

sicherheitskritischen Vorfall zu tun ist.

Mit dem 360-Grad-Konzept von Konica

Minolta erhalten Unternehmen alles aus

einer Hand und profitieren von Ressourcen-

und Kosteneinsparungen.

www.konicaminolta.de

www.it-daily.net


IAM CONNECT 2020

Die Brücke zu neuen Geschäftsmodellen

Die IAM CONNECT, die größte deutschsprachige Konferenz zum Thema

Identity & Access Management, bietet Ihnen auch 2020 wieder ein

praxisnahes Programm: IAM-Verantwortliche großer Unternehmen teilen ihre

Erfahrungen mit Ihnen. In Speed Demo Sessions präsentieren Hersteller anhand

von Business Cases ihre IAM-Lösungen.

Freuen Sie sich auf konstruktive Gespräche mit Kollegen auf hohem fachlichen

Niveau.

Konferenz

16. bis 18. März 2020

in Berlin

Programm und Anmeldung unter

www.iamconnect.de

Hauptsponsor

Speed Demo Sessions

Eine Veranstaltung von

&


Highlights aus der Agenda

Vorträge

Wie alles begann

Prof. Dr.-Ing. habil. Horst Zuse ist der

Sohn des Erfinders des Computers Konrad

Zuse. Er berichtet von den frühesten

Entwicklungen.

Einführung einer 2Faktor-

Authentifizierung mit Hilfe eines

Secure Access Hubs

Jörg Hartmann,

Johanniter-Unfall-Hilfe e.V.

Ordnung im Berechtigungs-

Dschungel: Erfahrungsbericht

Dr. Peter Katz,

KPT Krankenkasse

Einführung einer neuen IAM-Lösung

bei der Thüringer Aufbaubank

Cindy Schöneck,

Thüringer Aufbaubank

Individualisierung, oder:

Muss es immer die Oberfläche

des Herstellers sein?

Clemens Wunder,

Bundesagentur für Arbeit

Orchestrierung von IAM-Kontrollen

und Bereinigungen

Thilo Richter,

KfW Bankengruppe

Workshops

Minimaler Aufwand, maximale

Sicherheit: Dos and Don‘ts für erfolgreiches

Berechtigungsmanagement

Dr. Ludwig Fuchs,

Nexis GmbH

IAM für

Internet-Dinger (IoT)

Peter Weierich,

IPG GmbH Deutschland

Rechtliche Herausforderungen

im IAM

Ralf Schulten, Rechtsanwalt,

avocado rechtsanwälte

NEXIS


18 | IT SECURITY

MMER ÄRGER MIT DEM

ZERO TRUST IST DIE NÄCHSTE STUFE

Da

s Bundesamt für Sicherheit in der In

fo

r-

mationstechnik

(BSI) ist jetzt von seine

r

Empfehlung

ab,

Passwörterr re

gelmäßig

zu ändern.

In der aktu

ellen Ausgabe des

BSI-Grundschutz-Komp

endiums wurde

die entsprechende Textpassage gestri-

chen. Unter ande

dere

rem hatt

te Heise Security

über die

Änd

nder

erung berichtet.

Die BSI-Experten raten nun im Kapitel zur

Regelung des Passwortg

ebr

auchs nur

für

den Fall, dass

ein Passwort in fremde

Hände geraten sein könnte, das Kenn-

wort

zu ändern. Auch die

dort bisher

auf-

geführte

Verpfllichtung, fest

e Regeln für

Länge und Komple

lexi

tät vor

rzuschreiben,

ist verschwunden

en.

Bereits seit Jahren sind viele

e Sicherheitsexperten

der Ansicht dass solche Regeln

eher sch aden als nützen. „Ein gutes Pass-

wort

kan

n man

bedenkenlos über

Jahre

hinweg

nut

zen“ “, schr

eibt etwa Heise Se-

curity. „Das regelmäßige

Ändern führt

ehere dazu,

dass man schwache

Passwör-

ter benu

nutzt und

diese beispiel

sweise

nach

ein

inem Sch

hema (geheim1, geheim2,

...)

.) erz

eugt.“

Der Password Day

Anlässlich

des

„Change Your Password

Days“ am Samstag, dem 1. Feb

ruar, er

-

innerte das Hasso-Plattner-Institut (HPI) an

die wichtigsten

Regeln zur Erstellung star-

ker Passwörter.

„Schwa

wach

e Zah

len

reihen

wie

etwa

„123

2345

456“ werden weltweit

weite

terh

rhin

viel zu häufig genutzt“, kritisiert HPI-Direktor,

Professor Christoph Meinel. „Vie-

le Internetnutzer etnutzer verwalten bereits mehr

als hundert Online-Konten ne-Kon

- da fällt die

Wahl

viel zu oft auf

Passwörter, swör

r, die man

sich leicht merken en kann“, n“, sagt

Meinel.

Au

ch die weit verbreitete reit

ete Mehrfachnut

-

zu

ng von Passwörtern swör

rn für

unterschiedli

ed -

che Dienste sei extrem em leichtsinnig, inni

nig, wenn

man bedenke, welche Schäden hier

-

durc

rch

entstehen könnten.

Die wichtigsten Regeln zur Erstellung

starker Passwörter:

• Die Länge des Passworts sollte mindes

-

tens

15 Zeichen umfassen.

• Das

Passwort sollte lte möglichst viele ver

-

schiedene Zeichentypen en (Buchstaben,

Ziffern, Sonderzeichen) sowie Groß-

und Kleinschreibung mit einbeziehen.

eziehe

n

ZERO TRUST PRINZIPIEN

1.

Zugang zu allen Ressourcen

2. Adaptierung eines Modells mit den geringsten

• Keine Begriffe aus dem

Wörterbuch

oder andere „sinnvolle“ nvol

le“ Zeichenfolgen

verwenden. n. Neben en den

Brute-Force-At

-A t-

tacken sind vor allem lem „Wörterbuchan

rbucha -

grif ffe“ üblich, um Passwörter swör

zu kna-

Hierbei werden en Listen mit Wör

-

cken:

tern

genutzt, um fremde Passwörter zu

entschlüsseln.

• Nie dasselbe Passwort für mehrere

Konten n verwenden. Wird ein Passwort swo

geknackt, ermöglicht es Kriminellen

sonst den Zugang zu allen len anderen

Diensten.

3. Überprüfen und protokollieren

Sie alle Aktivitäten mit Hilfe

von Datensicherheitsanalysen

• Niemals persönliche Informationen

wie Namen,

Geburtsdaten, ten,

Haustier

-

namen, Namen der

Partner oder der

jeweiligen igen

Anwendung (zum Beispiel

e

„Adobe“) verwenden. Diese Daten

könnten leicht

erraten werden.

(Quelle: varonis.com/blog/what-is-zero-trust/)

www. w.it-daily.net


IT SECURITY

| 19

SW

• We

nn mögli

ich,

die 2-Fa

ktor-Authentifii-

zierung nutz zen.

• Passwort

manager helfen

bei

der

Ge-

nerierung und der sicherenen Aufbewah-

rung

sta

tarker Passwörter

Ob man selbst Opfer eines Date

tend

ndie

ieb-

ist, lässtst sich mit dem

stahls

gew

ewor

den

Identity Leak Checker, einem Online-Si

-

cherheitscheck

des Hasso-Plattner-Insti-

tutsts (HPI), sehr

leicht überprüfü en. Se

it

2014

kan

n dort

jeder Internetn

utzer un-

ter

https://s

sec.hpi.de/ilc

kostenlos

durch Ei

ngabe

seiner E-Mail-Adresse prü-

fen lassen

en, ob

Identitätsdaten

von

ihm

frei

im Internet

et kursierenen und

missbrauc

ucht

werd

rden könnten.

Die Sicherheitsfor

orsc

sche

her

ermöglichen den

Abgleich mit mittlerwei-

le mehr als 10 Milliarden gestohlener

und im Internet verfügbarer rer Identitätsda-

ten. Dabei liegt der Fokus auf Leaks, bei

denen de

utsche Nutzer betroffen sind.

Für Cybers

rsecurity-Experte Marco Föllmer

von der EBF GmbH sind Authentifizzie-

rung

ng-M

-Met

hoden, die über Passwörter

hin

in-

ausgehen, ein

probates Schut

utzm

zmittel.

Denn einfache Passwortko

kombinationen,

die Nutzer bei verschiedenen Anwenverwenden,

sind ein enor-

mes Si

cherheitsrisiko für Unternehmen.

Doch

sel

bst sehr

komplexe Passwörter

können

ins Visier

von Hackern geraten

und von ihnen

geknackt

werden.

Als

deutlich

sic

herer

gilt die

Zwei-Faktor-Au-

then

enti

tifiz

fizierung

(2FA)

, die bereits in vie

ielen

Unte

ternehmen gen

nutzt wird, um Daten

ab-

dungsdienste

ten

zusichern.

Zero Trust

– vertraue niemanden

Der Kern des Zero-Trust-Ansatzes lässt

sich

durch die direkte Übersetzung etzu

ver

-

stehen: kein Vertrauen. Dabei wird be-

wusst nicht zwischen internen nen und exter

-

nen Quellen unterschieden – jeder Zu-

gr

iff auf Anwendungen ndun

und Unterneh

-

mensdaten wird

zunächst als nicht

vert

rtrauenswürdig eingestuft. t. Egal, von

welchem Gerät,

welchem em Nutzer oder

welcher App: Jeder Zugriff muss explizit

autorisiert werden.

en

Dies ist ein sehr komplexer Ansatz und

stellt ein Novum im Vergleich zu

bisheri

-

gen Handlungsweisen sen dar.

Aber in Zei

-

ten, in denen Qualität und

Quantität von

Cy

berangriffen en stetig zunehmen, en, ist es

ein wirkungsvoller Weg, potentielle Ein

-

fallstore

abzusichern.

Intelligente Richtlinien

Voraussetzung zur Anwendung des Ze-

ro-Trust-Prinzips ist es, im Vorfeld

Richtli

-

nien zu definieren. Diese legen fest, in

welchem Fall ein Nutzer den angeforder

r-

te

n Zugriff ohne

zusätzliche zlic

Authentifi

-

zi

erungsschritte te erhält und in welchem

Fa

ll weitere Schritte zur Feststellung stellu

lung der

Identität t notwendig sind. Dabei existie

-

ren verschiedene Authentifizierungsfak

-

toren, welche zur Bewertung der Zugriffs-

anfrage abgefragt werden.

VORAUSSETZUNG ZUR

ANWENDUNG DES

ZERO-TRUST-PRINZIPS IST ES,

IM VORFELD RICHTLINIEN

ZU DEFINIEREN.

Ulrich Parthier,

Herausgeber it security,

www.it-daily.net

Die verwendeten Geräte spiele

en dabei

eine zentrale Roll

lle.

Handelt es si

ch um ein

von der IT verwaltetes Gerät, so können in

der Regel geringere ere Hürden in Sachen

Authentifizierung t gelten. Wird das Gerät

nicht gemanagt, ist das Misstrauen höher.

Im Vergleich eich

zur simplen Passworteinga

ga-

be ist die Zwei-Faktor-Authentifiizierun

g

zwar

ein

erseits sicherer, aber

anderer-

seits ist sie für Nutzer auc

h zeitintensiver

und aufwändiger. Mitarbeiter empfinden

sie daher als wenig nutzerfreundlich.

Aus diesem e Grund

arbeiten immer mehr

IT

-Experten aktuell an Verfahren, en, die eine

Pa

ssworteingabe nicht immer mer erforder

rd r-

lich machen. Damit dies gelingt, setzen

sie auf

das „Zero-Trust“

Kon

onze

zept

.

Auch

die

Nutzer selbst

werde

en als Faktor

herangezogen: Ist ein Nutzer

beispiels-

ge-

weise im Active Director

ory hinterlegt,

nießt er mehr Vertra

raue

n als ein unbe-

Faktor

stellen einzelne

Anwendungsdienste und

kannter Nutzer. Eine

nen weiteren

deren He

rkunft dar: Stammt einee An

wendung

aus dem Firmen-App-Store, dessen

Sicherheit von der Unterne

nehmens-IT kon-

wurde die

tinuierlich geprüft wird? Oder

App aus dem App-Store des Geräteher-r

stellers heruntergeladen?

Bei Letzterem besteht ei

n erhöhtes Sicher-

heitsrisiko,

weshalb

ein

e zusätzlich

e Aukann

bezie-

hungsweise notwendig

ist

st. Auc

ch Zertifi-

kate, die an mobile Endgeräte verteilt

werdenen können und eine einzigartige

Identität in Form ei

nes Schlüssels ausdrü-

thentifiz

ierung

sin

innvn oll sein

cken, können

bei

den Richtlinien eine

Rolle spielen.

www.it-daily.net


20 | IT SECURITY

Neuere

Ansätze

gehen sogar soweit,

die

Nutzungsgewohnhe

heiten

der

Mitarbeiter

zur Authentifizzie

ieru

ng heran

zuziehen.

Deepep Learning macht es mö

öglich, diese

genauer kennenzulernenn und beispielsweise

zu erkennen, n n, wie

schnell ein Nut-

zer tippt oder mit wie viel Druck er auf

das Smartphone-Dis play

drückt. Bei un-

kann der Zu

-

gewö

hnlichen

Vor

gängen

griff dann

verweiger

t werden.

Mehr

Nutzerfreun

dlichkeit

Die definniertenen Richt

htli

linienn lassen sich

mit-

hilfe eines Unifi

ified

End

poi

int Manage-

die

Praxis umset-

zen.

Sie dienen der Verwaltung

von

End-

ment

Systems

(UE

M) in

geräten wie Handys und Laptops und

mach

en es möglich,

Richtlinien für diese

Geräte zu definieren, die dem Zero-Trust-P

rinzip

folge

n. Das

UEM über-

prüft die verschiedenen definiertene Fakto-

ren und erkennt,

ob sich das Gerät

in

einer sicherenen Situati

tion befindet oder ob

es Anomalien

gib

ibt.

Je nach

Ausprägung

der verschiede

denen Faktoren

werden suk-

te eingefordert.

zessive stärkere Authentifizierungsschrit-

So gelingtgt es, dass der Arb

beitsalltag im

Normalfall

für

den

Mitarbeiter deutlich

nutzerfreundlicher

wird.

Denn es ist

so-

gar mögl

ich,

dass

in Situationen, die das

UEM als gänzli

ch sicher einstuft, gar kei-

ne Pas

assworteingabe mehr erforderli

lich

ist. Dies ist zum Beispiel dann der Fall,

wenn ein Nutzer, der im Active Directoryry

hinterlegt ist, ein von der IT verwaltetes

Gerät benutzt,

um

auf eine gemanagte

App zuzugreife en – und – wichtigste

Vor-

aussetzung

– wennn di

eses Gerät

über ein

Zertifiikat verfügt, das auf

sicherem Wege

verteilt

wurde

.

Di

e konsequente nte Umsetzung des Ze-

ro-Trust-Modells, ls, so Föllmer, lmer

bietet e Unter

-

nehmen die Möglichkeit, it, für Sicherheit

und gleichzeitig hohe Nutzerfreundlich

freundlich-

sorgen.

keit zu Fazit

Unternehmen können so einerseits eits ihre

Daten

gegen alle Angriffe – ob von auoder

innen – absichern und

anderer

r-

seits den Mitarbeitern tern

einen en effektiven

Ar

beitsalltag ermöglichen.

ßen WIE MAN ZERO TRUST IMPLEMENTIERT:

1.

2. Zugang beschränken

3. Bedrohungen erkennen

4. Eine Baseline verwenden

5. Analytik einsetzen

Ulrich

Parthier

(Quelle: varonis.com/blog/what-is-zero-trust/)


IT SECURITY | 21

ZERO TRUST

SICHERE NETZWERKUMGEBUNG IN ZEITEN DES DIGITALEN WANDELS

Unternehmen unterliegenn aufgrund der

digitalen Transformationen großen Ver

-

änderungsprozessen. Dieser

Wandel

hängt selbst in großem Maße mit den

Möglichkeiten der Cloud zusammen, die

Grenzen in Unternehmen zwischen in-

tern und extern verschwimmen lässt: Ar

-

beiten von überall und der Zugriff aufs

Unternehmensnetz nsnetz von außerhalb ist

zum Standard geworden. Für die IT-Secu

-

rity ist diese Entwicklung eine große He

-

rausforderung, der ein Zero-Trust-Sicher

r-

heitskonzept

Abhilfe bietet.

Traditionelle Sicherheitsstrate

-

gien funktionieren nicht mehr

Der traditionelle Sicherheitsansatz kann

diese Probleme nicht lö sen.

Er besteht

aus mehreren

en Verteidigungslin

slinien („Peri

-

meter Security“) und dd der Prämisse, dass

alles, was sich innerhalb der Unterneh-

mensmauern befindet, vertrauenswürdig

ist. Doch Studien wie der 2019 Data

Breach Investigations Report von Verizon

zeigen: Mitarbeiter verursachen intern

die größten Schäden. Deren Arbeitsplät

t-

ze sind dank der WLAN-Omnipräsenz

inzwischen überall. Darum gehen die

Unternehmensanwendungen auch nach

draußen und stehen beispielsweise über

Amazon Web Services (AWS), Microsoft

Azure oder Google Cloud Platform

(GCP) bereit.

Im digitalen Ökosystem eines Unternehmens

tummeln sich viele Player

und Komponenten:

• Mitarbeiter, die mit dem eigenen Ge-

rät auf Firmeninhalte zugreifen wollen,

• Drittanbieter, die Zugang zu Ressour

-

cen der Firma benötigen,

• neue Anwendungen, in

der Cloud,

• neue APIs, auf die von extern über

diverse Devices zugegriffen wird.

Diese sich verändernden Ökosysteme

treffen auf viele Cyber-Gefahren:

• Malware, Phishing & Datenexfiltration

• Identitätsdiebstahl,

• schwache Single-Faktor-

Authentifizierung,

• Ausnutzung von Architektur-

Schwachstellen.

Zero Trust-Strategie löst

viele Probleme

Für diese Herausforderungen ist die Implementierung

einer Zero Trust-Strategie

die richtige Antwort. Ihre Devise lautet: Es

wird niemandem vertraut, egal ob inner-

halb oder außerhalb des Netzwerkes.

Zuerst muss der gesamte Traffic rund um

die Uhr überwacht und der Zugriff auf

jegliche Applikation von einem zentralen

Management System explizit erlaubt wer-

den. Im zweiten Schritt wird das klassische

Netzwerk-Design basierend auf

DMZ in einen „Isolated Services“-Ansatz

überführt. Die Applikation ist dann komplett

vom Internet isoliert – über einen sogenannten

Identity Aware Proxy, der in

der Cloud zur Verfügung steht.

Ein cloudbasierter sicherer Applikationszugriff

hat viele Vorteile:

• Nur im Verzeichnisdienst autorisiertete

Personen haben nach der Authentifii-

zierung sicheren Zugriff auf vordefi

-

nierte Applikationen,

• Single-Sign-On und Multi-Faktor-

Authentifizierung sind Teil der Lösung,

• alle Vorgänge im Unternehmensnetzwerk

sind durchgängig protokolliert,

• es ist keine weitere Hardware

notwendig,

• der Zugriff auf On-Premise- und

Cloud-Applikationen ist sicher.

Angreifer halten sich also nicht mehr unentdeckt

im Firmennetzwerk auf. Auch ist

die Bereitstellung der Zero Trust-Schutzmechanismen

aus der Cloud weit weniger

komplex und wartungsintensiv als

VPN-Technologie. Und schließlich spart

das Unternehmen Kosten, da die Investitionsausgaben

(Kapitalaufwand für Sicherheit

wie VPN-Hardware und -Soft-

ware) und die laufenden Betriebskosten

für die Security geringer sind.

Elmar Witte | www.akamai.com

www.it-daily.net


SECURITY

VERSTECKTE BEDROHUNGEN

AUFSPÜREN

SICHERHEITSRISIKEN SYSTEMATISCH ERKENNEN

Das größte Sicherheitsrisiko für Unter

-

nehmen sind Angreifer, die unter dem

Radar bleiben und so ungestört ihre Zie-

le erreichen können. Leider werden bös

-

willige Insider und externe Cyberkrimi

-

nelle immer cleverer, können oft in Sys-

teme eindringen und Sicherheitstools

überwinden, ohne Warnmeldungen

auszulösen.

Wie können also Unternehmen diese

Aktivitäten im Rauschen der legitimen

Anmeldungen erkennen? Die Antwort

liegt im Kontext. Es reicht eben nicht

aus, die Aktivitäten im gesamten Netzwerk

zu überwachen und zu protokollieren,

vielmehr müssen die Sicherheitsverantwortlichen

in der Lage sein, meh-

rere Datenquellen zu

kombinieren, um

DER WICHTIGSTE FAKTOR IN

DER RISIKOERKENNUNG IST

DIE ENTWICKLUNG EINES UM-

FASSENDEN VERSTÄNDNISSES

DER MITARBEITER, PROZESSE

UND TECHNOLOGIEN DES

UNTERNEHMENS.

Klaus Nemelka, Technical Evangelist,

Varonis Systems (Deutschland) GmbH,

www.varonis.com/de

auch die subtilen Anzeichen eines heimlichen

Angreifers bei der Arbeit zu erkennen.

Such mich doch!

Der Grund, weshalb es so sehr auf den

jeweiligen Kontext ankommt, liegt dar-

in, dass diese fortgeschrittenen Angreifer

verschiedene Tools und Taktiken ver-

wenden, um die eingesetzten Sicher-

heitsmaßnahmen zu umgehen. So nut-

zen sie für ihre Kommunikation munikation häufig

HTTPS und DNS, wodurch sich diese gut

verschleiern lässt. Ein durchschnittlicher

Benutzer erzeugt pro Tag bis zu

20.000

DNS-Abfragen. Diese enorme Menge

an Daten ist kaum zu analysieren, ins-

besondere wenn die Kommunikation

selbst keinen offensichtlich bösartigen

Inhalt hat.

Ohne den entsprechenden Kontext, also

weitere Anzeichen, die einen Administ

-

rator stutzig machen sollten, wäre er sehr

lange damit beschäftigt, Protokolle

durchzugehen, um so herauszufinden,

ob ein Alarm eine echte Bedrohung oder

nur ein Fehlalarm ist. Darüber hinaus

werden Aktivitäten wie das Einloggen in

ein gültiges Gerät während der Geschäftszeiten,

die Konzentration auf Daten

in Mailboxen und das Extrahieren

von nur wenigen Daten auf einmal, wenig

Aufmerksamkeit erregen. Auch das

Erstellen von Schattenkonten mit mehr

Rechten und das Erteilen und Entfernen

von Berechtigungen je nach Bedarf sind

gute Möglichkeiten für Angreifer, sich un-

auffällig zu verhalten.

Wie kommt man nun diesen Akteuren

trotzdem auf die Spur? Selbst die erfahrensten

und akribischsten Eindringlinge

können ihre Präsenz in einem Netzwerk

nicht vollständig verdecken. Der wich

-

tigste Faktor bei der Erkennung ist die

Entwicklung eines umfassenden Ver

-

ständnisses der Mitarbeiter,

Prozesse

und Technologien des Unternehmens.

Der erste Schritt besteht darin, herauszufinden,

wo sich die sensiblen Daten eines

Unternehmens überhaupt befinden. Dabei

sollten personenbezogene Daten (PII)

und andere Daten, die den gesetzlichen

Anforderungen unterliegen, priorisiert

und Datenverantwortliche und die Konten,

auf die sie zugreifen können, fest-

gelegt werden. Um Bedrohungsvektoren

zu reduzieren, ist es angeraten, sämtliche

nicht mehr aktiv genutzten Daten zu

archivieren.

Sicherheitsverantwortliche sollten über

eine umfassende Transparenz über alle

Konten verfügen, sowohl von „norma

-

len“ Nutzern als auch von Service- und

privilegierte Konten – inklusive der Berechtigungen,

über die sie verfügen. Vor

allem die Überwachung von Berechtigungsänderungen

ist bei der Identifizierung

von Bedrohungen von großer Bedeutung,

da beispielsweise eine Eskalation

der Zugriffsrechte auf verdächtiges

Verhalten hinweisen kann. Grundsätzlich

sollte ein least-privilege-Ansatz durchgesetzt

werden. Dadurch wird sicherge-

www.it-daily.net


IT SECURITY | 23

stellt, dass jeder Mitarbeiter nur auf die

Dateien zugreifen kann, die er auch tat-t

sächlich für seine Arbeit benötigt (needto-know-Prinzip).

Es ist wichtig, einen Überblick gerade

über die Systeme zu haben, die bei An-

greifern besonders beliebt sind und von

ihnen entsprechend ausgenutzt werden.

Bei Windows Active Directory zum Beispiel

sollte das Unternehmen Informationen

wie Kontotypen und Servertypen,

Berechtigungen, Gruppen, Kollegen und

den Unterschied zwischen persönlichen

Geräten und öffentlichen Arbeitsplätzen

kennen.

Die Kombination der Benutzeraktivitäten

mit bestimmten Geräten hilft, sogar subtile

Anzeichen dafür zu erkennen, dass

sich ein Angreifer bei verschiedenene e

Maschinen anmeldet, selbst wenn er

nichts offensichtliches Bösartiges tut.

Kennt man den Unterschied ed zwischen

der Verwendung öffentlicher und per

-

sönlicher Geräte, lassen sich Lärm und

Fehlalarme arme deutlich reduzieren.

Der wichtigste Schritt ist die Korrelation

all dieser Daten. Jeder einzelne Punkt ist

wichtig, kann aber immer nur einen klei-

nen Bereich beleuchten. Die Anzeichen

eines fortgeschrittenen Angreifers sind

jedoch oft zu subtil und können kaum

identifiziert werden, wenn einzelne Infor-

mationen isoliert betrachtet werden. Nur

durch ganzheitliche Sicht wird in diesen

Fällen verdächtiges Verhalten erkennbar.

In Anbetracht der riesigen Datenmengen,

die jeden Tag durch ein Unternehmen

fließen, kann dies jedoch nur mit

einem automatisierten Ansatz auf der

Grundlage von maschinellem Lernen er-

reicht werden.

Diese umfassende Transparenz über alle

Netzwerkaktivitäten gepaart mit der

Kenntnis, welches Verhalten „normal“ ist,

ermöglicht es Unternehmen, Korrelatio-

nen herzustellen, die in der Lage sind,

auch schwer fassbare Anzeichen bösarti-

ger Aktivitäten zu identifizieren. Wenn

ein Benutzer beispielsweise auf ein VPN

zugreift und sich dann auf dem Gerät

eines anderen Mitarbeiters anmeldet,

wird kein Standard-Sicherheitssystem

ausgelöst. Aber ein solches Verhalten

wäre für einen legitimen Benutzer sehr

ungewöhnlich und ist ein klares Zeichen

dafür, dass jemand die Zugangsdaten

des legitimen Nutzers missbraucht.

Mit ausreichendem Datenmaterial kön-

nen Unternehmen über die Analyse einzelner

Benutzer hinausgehen und

Peer-Beziehungen in ihre Verhaltensanalyse

einbeziehen. Dies ermöglicht es ihnen,

einen Benutzer schnell zu erkennen,

der im Vergleich zu seinen Kollegen

ungewöhnliche he Dateiaktivitäten

aufweist, was die Reaktionszeiten bei

Vorfällen erheblich verkürzt. Sobald

Unternehmen diese Zeichen zuverlässig

erkennen können, werden selbst die ge-

wieftesten Angreifer nur noch wenige

Orte im Netzwerk erk haben, an denen sie

sich verstecken können.

Klaus Nemelka

www.it-daily.net

il


24 | IT SECURITY

KÜNSTLICHE INTELLIGENZ

DAS HERZSTÜCK DES NETZWERKS

Unternehmen sehen eine steigende Anzahl

mobiler und IoT-Geräte sowie einen

Ansturm auf neue Apps in ihrem drahtlosen

Netzwerk. Es ist daher an der Zeit

für Innovationen, die der IT dabei helfen,

die Skalierbarkeit zu erhöhen und diese

neuen Anforderungen zu erfüllen. Glücklicherweise

entwickeln sich KI und moderne

Cloud-Plattformen mit Mikroservices

weiter, um diese Anforderungen zu

erfüllen. Eine wachsende Anzahl von

Unternehmen erkennen außerdem, dass

künstliche Intelligenz (KI) eine wichtige

Komponente ist und ein lernendes WLAN

ermöglicht. Dank KI lässt sich die Effizienz

erhöhen und Kosteneinsparungen

dank Automatisierung erzielen. Gleichzeitig

erhalten Unternehmen detaillierte

Einblicke in die User Experience oder

Service Level Enforcement (SLE). Es kann

auch neue Location-based Services ermöglichen,

die Unternehmen und Nutzern

einen enormen Mehrwert liefern.

Im Kern des lernenden WAN ist die KI-Engine,

die Automatisierungs- und Analysefunktionen

bietet. Dazu gehören Wi-Fi-Assurance,

Natural Language Processing

(NLP)-basierte virtuelle Netzwerk-Assistenten,

Asset-Lokalisierung, User Engagement

und Standortanalysen.

Es gibt vier wichtige Komponenten für

den Aufbau einer KI-Engine für ein

WLAN: Daten, Strukturieren & Klassifizieren,

Data Science und Erkenntnisse.

Hier sind einige Details zu allen vier Elementen.

Daten

Die KI-Engine ist nur so gut wie die Daten,

die es aus Netzwerk, Anwendungen,

Geräten sowie von den Anwendern

erhält. Um eine gute KI-Plattform aufzubauen,

benötigt die Engine also Daten

– und zwar eine Menge.

Damit dies Realität wird, sind spezielle

Access Points notwendig, die die Präund

Post-Verbindungszustände jedes

drahtlosen Geräts erfassen. Sie müssen

außerdem sowohl synchrone als auch

asynchrone Daten sammeln. Synchrone

Daten sind die typischen Daten anderer

Systeme, zum Beispiel der Netzwerkstatus.

Asynchrone Daten sind ebenfalls kritisch,

da sie dem Benutzer Informationen

über den Benutzerstatus liefern. Sie sind

notwendig, um User Service Levels zu erstellen

und Anomalien am Rand zu erkennen.

Diese Informationen oder Metadaten

werden an die Cloud gesendet,

wo die KI-Engine sie strukturiert und klassifiziert.

KI-Primitives

Als nächstes strukturiert die KI-Engine die

von den Netzwerk-Elementen empfangenen

Metadaten mit einer Reihe von KI-Primitives.

Dafür muss sie von Entwicklern

mit wireless Netzwerk-Domänen-Wissen

programmiert werden. Nur so lassen

sich die strukturierten Metadaten für die

Analyse durch die Data Science Toolbox

klassifizieren – und letztlich Einblicke in

das Netzwerk liefern.

Eine Reihe unterschiedlicher KI-Primitives,

die als Metriken oder Klassifikatoren strukturiert

sind, tracken die End-to-End-Nutzererfahrung

für wichtige Bereiche wie Verbindungszeit,

Durchsatz, Abdeckung,

Kapazität und Roaming. Die Nachverfolgung,

wann diese Elemente erfolgreich

sind, fehlschlagen oder starten, in welche

Richtung sie tendieren und aus welchem

Grund, gibt der KI-Engine die notwendige

Transparenz, um Service Levels festzulegen.

Sie kann diese darüber hinaus entsprechend

kontrollieren und durchsetzen.

Datenwissenschaften

Sobald die Daten gesammelt, gemessen

und klassifiziert wurden, kann die Data

Science starten. Hier wird es dann interessant.

Der Grund dafür: Es gibt eine

Reihe unterschiedlicher Techniken, die

sich verwenden lassen. Dazu gehören

überwachtes und unbeaufsichtigtes Machine

Learning, Data Mining, Deep Learning

sowie die gegenseitige Information.

Sie werden angewendet, um Funktionen

wie Baselining, Anomalie-Erkennung, Ereignis-Korrelation

und Vorhersage-Empfehlungen

durchzuführen.

KI-ENGINES SIND MITTLERWEILE EIN MUSS FÜR

UNTERNEHMEN, DA SIE MIT DER STEIGENDEN ANZAHL

NEUER GERÄTE, DINGE UND ANWENDUNGEN IN DER

HEUTIGEN VERNETZTEN WELT SCHRITT HALTEN KÖNNEN.

Jeff Aaron, Vice President of Marketing at Mist Systems, a Juniper Company, www.juniper.net

www.it-daily.net


IT SECURITY | 25

FÜHRUNGSKRÄFTE BERICHTEN, DASS DIE KI FÜR DEN GESCHÄFTSERFOLG

IHRER UNTERNEHMEN STRATEGISCH WICHTIGER WERDEN WIRD:

60%

53%

50%

40%

37%

43%

38%

30%

20%

10%

19%

10%

0%

2018 2020 2018 2020 2018 2020

sind der Meinung, KI spielt keine

oder nur eine minimale Rolle

sind der Meinung, KI spielt

eine sehr wichtige Rolle

sind der Meinung, KI ist von

entscheidender Bedeutung

(Quelle: Deloitte’s „State of AI in the enterprise“ survey 2018, global data)

So werden beispielsweise Zeitreihendaten

als Baseline festgelegt und zur Er-

kennung von Anomalien verwendet.

Kombiniert mit einer Ereignis-Korrelation

bestimmen sie schnell die Ursache für

wireless, kabelgebundene und Geräteprobleme.

Durch die Kombination dieser

Techniken sind Netzwerkadministratoren

in der Lage, die MTTR (Mean Time

to Repair)-Probleme zu reduzieren. Sie

sparen somit Zeit und senken die Kos-

ten. Gleichzeitig steigt die Zufriedenheit

der Nutzer.

Ein gegenseitiger Informationsaustausch

wird auch auf Wi-Fi-Service-Level ange-

wendet, um den Erfolg des Netzwerks

vorherzusagen. Genauer gesagt: Un-

strukturierte Daten werden von der wire-

less Edge genommen und in domänen-

spezifische Kennzahlen wie Verbin-

dungszeit, Durchsatz und Roaming um-

gewandelt. Diese werden auf die

SLE-Metriken angewendet. So lässt sich

feststellen, welche Netzwerkfunktionen

am ehesten zu Erfolg oder Misserfolg

führen – und wie umfangreich die Auswirkungen

sind.

Darüber hinaus lässt sich unbeaufsichtigtes

Machine Learning für eine hochgenaue

Lokalisierung im Innenbereich einsetzen.

Für Standortlösungen auf der

Basis von Empfangssignalstärke-Indikatoren

(Received Signal Strength Indicator,

RSSI) wird ein Modell benötigt, das RSSI

auf Entfernung abbildet. Diese wird oft

auch als RF-Pfadverlustmodell bezeichnet.

Typischerweise wird dieses Modell

durch die manuelle Daten-Erfassung er-

lernt, dem sogenannten Fingerprinting.

Dank KI ist es jedoch möglich, den Wegverlust

durch Machine Learning in Echt-

zeit zu berechnen. Hierbei werden

RSSI-Daten von direktionalen BLE-Antennen

verwendet. Das Ergebnis ist eine

hochpräzise Position, die keine manuelle

Kalibrierung oder umfangreiche Standortbestimmungen

erfordert.

KI-gesteuerte virtuelle

Assistenten

Die letzte der vier Komponenten der

KI-Engine ist ein virtueller Assistent, der

dem IT-Administrator Einblicke liefert und

diese in das Netzwerk selbst einspeist.

So lässt sich die Problemlösung automa-

tisieren. Das Ergebnis ist letztlich lich ein

„selbstheilendes es Netzwerk“.

Ein natürlicher Sprachprozessor ist

enorm wichtig, um den Prozess für Ad-

ministratoren ren zu vereinfachen, Erkennt

-

nisse aus der KI-Engine zu extrahieren –

und zwar ohne die Dashboards oder

Befehle des Common Language Inter

-

preters (CLI) durchsuchen zu müssen.

Dies ist bei Legacy-Systemen ohne KI der

Fall. Dies kann n die Produktivität der IT-

Teams steigern und gewährleistet gleich-

zeitig eine bessere Benutzerfreundlicherfr -

keit für Mitarbeiter und Kunden.

Drahtlose Netzwerke sind geschäftskritischer

denn je, ein Troubleshooting wird

jedoch aufgrund der zunehmenden Anzahl

unterschiedlicher Geräte, Betriebssysteme

und Anwendungen jeden Tag

schwieriger und komplexer. KI-Engines

sind daher mittlerweile ein Muss für Unternehmen,

da sie mit der steigenden Anzahl

neuer Geräte, Dinge und Anwendungen

in der heutigen vernetzten Welt

Schritt halten können.

Jeff Aaron

www.it-daily.net


26

| IT

SECURITY

EINE E FRAGE DER

GRÖSSE?

SE?

WIE TICKT DER

MITTELSTAND

IN SACHEN

IT-SICHERHEIT?

IT?

Mit der rapide ansteigenden Digitalisie

i -

rung in Unternehmen entstehen ehen e

für die

IT-Sicherheit h neue

Stolpersteine. Wäh

-

rend Mitarbeiter sich über neue Techno

-

logien oder Konzepte aus den Berei

e -

chen Bring your own Device, Internet et of

Things und Co. freuen, schlagen in den

IT-Abteilungen aus Sicherheitssicht heits

icht die

Alarmglocken. Ungesicherte Geräte,

das Nutzen öffentlicher W-Lans mit dem

eigenen en Smartphone oder täuschend

echt wirkende

E-Mails mit verseuchten

euchtenen

Anhängen – die Angriffsvektoren für

Cyberattacken en sind vielfältig. Wer sich

fahrlässig den Gefahren aussetzt, t, der

muss mit

schweren en finanziellen nziellen oder

auch imagetechnischen isc

Konsequenzen

en

leben.

Um das szuve

verhindern, n, müssen Unterneh

-

men die

IT-Sicherheit it fest in der Unterneh

e -

mensstrategie stra

egie e verankern. rn.

Nur so kann

gewährleistet ährleise

werden, dass alle

an ei

-

nem Strang ziehen

e

und dieIT-Sicherheit

TSiche

den Stellenwert en e

bekommt, den

sie drin

-

gend benötigt t und verdient.

Genießt die IT-Sicherheit

eit

den notwendi

-

gen

Stellenwert? enwert? e

Sind

die Mitarbeiter

e

für

die Gefahr sensibilisiert

s isiert worden?

Welche e technischen h n und

mitarbeiterzen

rzen

-

trierten ti r

ten Maßnahmen a n

sind besonders

e

wichtig?

Um diese Fragen

zu beantworten, en wur

-

den im Rahmen der Studie

„IT-Sicherheit

h

im Mittelstand“ von DriveLock und tech

-

consult 202

Unternehmen ehmen aller

Bran

-

chen zu ihren IT-Sicherheitsmaßnahmen

h

untersucht.

t

Knapp p

die Hälfte der Befragten waren

IT-Leiter und CIOs sowie IT-Mitarbeiter,

er

-Administratoren ren und

-Spezialisten. en. Die

zweite

Hälfte

setzte sich zusammen m

aus

weiteren C-Level-Positionen onen – CISOs

eingeschlossen e sen – Compliance-Spezialis

pez alis-

ten und Sicherheits- und

Datenschutzbe

-

auftragten.

a

Sicherheit im Mittelstand

tand

Cyberangriffe riffe

fe sind

längst als ernstzu

-

nehmende nde Bedrohung im Bewusstsein

s

deutscher er Unternehmen nehmen en angekommen.

me

Doch die Intensität, mit der

gegen en diese

Angriffe fe

vorgegangen gangen g

wird, unterschei

-

det sich je nach Branche und

Unterneh

eh

-

mensgröße. e. Laut der Studie hat die IT-Si

-

cherheit e

einen

größeren Stellenwert, ert, je

größer göß

das Unternehmen

ist. Stellt man

sich die

Frage, wieso

mit steigender

Unternehmensgröße nehmensgröße die Implementation

m

von IT-Sicherheit in die Unternehmens

nehm -

strategie anwächst, lässt sich ihdi dies auch

mit der Rollenverteilung in den

Unter

-

nehmen erklären. In kleinen

Unterneh

n

e -

men sind die Geschäftsführung f h

und dd

der

IT-Leiter er oftmals für die IT-Sicherheit h i

ver

-

antwortlich. In größeren Unternehmen

GAB ES IN DEN VERGANGENEN ZWEI JAHREN IT-SICHERHEITSVORFÄLLE IN IHREM UNTERNEHMEN

UND WENN JA, UM WELCHE ART VON VORFALL HANDELTE ES SICH?

61%

der Unternehmen hatten bereits IT-Sicherheitsvorfälle

davon

25 %

Malware

(Viren, Würmer,

Trojaner)

25 % 17 % 11 % 9 %

Phishing

E-Mails

Gezielte

Attacken auf

Systeme

Erpressung

(Ransomware)

Datenverluste

Quelle: IT-Sicherheit im Mittelstand; techconsult GmbH 2019

www.it-daily.netww.it-daily.ne

i


IT SECURITY

| 27

bewegt sich die Verantwortlichkeit rtlichke

von

der Geschäftsführung hin

zu einem de-

dizierten i ITS

IT-Security-Leiter.

TSe

r Im Gegen

-

satz zum Geschäftsführer

f er oder

IT-Leiter

kann

n

der

IT-Security-Leiter

mit deutlich

mehr Expertise e aufwarten, alse

es sdi

die Ge

-

neralisten

können.

WELCHE AUSWIRKUNGEN DURCH MANGELNDE

CYBER-SECURITY-MASSNAHMEN BEFÜRCHTEN SIE?

43 % 39 % 32 %

zu spätes

Erkennen von Sicherheitsproblemen

Zuständigkeiten, t e

Stellenwert

e ert

und dUm

Umsetzung

Der

IT-Leiter ist in fast allen

le Unternehmen

eh en

haupt- oder rmi

mitverantwortlich two

für

die IT-Si

-

cherheit h (83%). In 64 Prozent der Fälle

ist

es der IT-Security-Leiter. eite

e

27

Prozent der

Unternehmen nehm

en besetzen

diese Position

nicht einmal. Ähnlich

h

schwach

h vertreten

sind Compliance- und Governance-Ver

er-

antwortliche. Die Position ist bei mehr

als

zwei Drittel

der Unternehmennehmen nicht iht

vor

-

handen. Falls

doch, haben sie im Ver

-

gleich den geringsten gsten Einfluss (40%) auf

Prozesse se der IT-Sicherheit.

e

Die Studienergebnisse zum Thema Stellenwert

sind leider ebenso ow

wenig über

r-

raschend: Je kleiner die Unternehmen,

e

umso seltener ist IT-Sicherheit heit Teil

der

Unternehmensstrategie. ehmensstrategi

t .50 beziehungs

-

weise 42 Prozent der rU

Unternehmen nehmen n mit

weniger als

50 oder 50-249 Mitarbei

-

tern setzen Security-Maßnahmen a n proak-

tiv nur punktuell um, zum Beispiel im

Rahmen von Gesetzesvorgaben e e oder

erst nach einem Sicherheitsvorfall. heitsvorfall. l

Selbst

bei Großunternehmen rne mit über 500 0

Mit

-

arbeitern ern liegt dieser Wert noch bei 32

Prozent. Die verbleibenden 68 Prozent

der Unternehmen in dieser Größenord

r -

nung ng sehen

IT-Sicherheit eit als einen

en zentra

-

len Bestandteil ihrer r Unternehmensstrate

ens

strate-

gie. Ein Grund dfür den hohen Anteil an

punktuellen u en Maßnahmen ahm

ist sicherlich,

dass beim

mG

Großteil

der Unternehmen en der

IT-Leiter e neben seinen en zahlreichen en ande

-

ren Pflichten auch für Security zuständig

ist. Da

istes

wenig erstaunlich, dass Cy-

bersicherheit hei

nur dann Beachtung findet,

wenn nunbedingt ng

erforderlich wie bei

der

DSGVO.

In Sachen Umsetzung setzen die Unter

er-

nehmen

n größtenteils t immer

noch auf die

Klassiker: siker: Lösungen wie Firewall (67%),

Spamfilter (63%) und Antivirus irus (62%)

führen die

Liste ean. Auch das zeigt, dass

Security häufig nebenbei

e gehandhabt

a

wird. Viele Unternehmen nehmen setzen en einfach

auf diese e drei Basics bei der

Umsetzung

ihrer r IT-Sicherheit. e i Das überrascht nicht,

denn n diese Lösungen sind bereits seit vie-

len Jahren etabliert e t – sowohl ohl

in Unterneh

ehmen

als auch

privat. Dahinter folgen

Schulungen n (57%) und Sensibilisierungs

is s-

kampagnen a (50%) für die eigenen e n Mit

-

arbeiter abe er – noch vor Verschlüsselungstech

s

ech-

nologien (ca. 49%).

Bei der tatsächlichen

tsä h Umsetzung der ein

-

zelnen n Bereiche e existiert

t

jedoch eine Diskrepanz

zwischen Wunsch und Wirklich

i -

keit. Eigentlich dürfte

es kein Unterneh

n -

men geben,

en,

das

Probleme mit Antivirus,

Firewall oder E-Mail-Sicherheit heit

hat. Doch

leider e

sind immer noch 20 Prozent der

Unternehmen en in diesem Bereich

nicht gut

aufgestellt. Das heißt, dass ihre einge

e-

setzte e

Lösung entweder e

er nicht

zufrieden

-

stellend funktioniert ie t und Malware ar trotz

z-

dem durchkommt oder

aber diese

über

-

haupt nicht vorhanden ist.

Inhouse oder outsourced?

u IT-Sicherheit heit lässt

sich in verschiedenen

e

Bereitstellungsformen eitste

n angehen. en. Das fängt

beim

klassischen sisch

Inhouse-Betrieb seBe

etrie

an,

über Teilauslagerungen lagerungen en einzelner e n

IT-Secu

-

Verstöße

gegen die

DSGVO

Anstieg

unerwarteter

Kosten

Quelle: IT-Sicherheit im Mittelstand; techconsult GmbH 2019

rity-Bereiche bis hin zum kompletten te Out

-

sourcen der gesamten IT-Sicherheit.

eit.

Das Management a e durch externe e Dienst

-

leister

ist besonders bei der kleinsten n Un-

ternehmensgröße e ensgröß

e mit 50 Prozent (gesamt

35%) eine der wichtigsten Eigenschaften

e

bei der Wahl von Security-Leistungen.

e n

Generell elll sind externe Security Provider

für Unternehmen, nehmen,

en, die sich

nicht selbst s

um

ihre Sicherheitsstrategie its

r e kümmern me kön

önnen

beziehungsweise e e e wollen, l am

sinn

-

vollsten. lsten Das ist besonders ers dann der Fall,

wenn es Unternehmen eh

an Ressourcen

en

mangelt wie Security-Fachkräfte ch rä e oder

-Know-how. -h Das bedeutet e t auch: Je größer

das

Unternehmen e ist, desto eher er wird

die

IT-Sicherheit ei im eigenen

enen

n

Haus betrieben.

en.

Fazit

Laut der Studie könnte nte

der Mittelstand

tel

durchaus mehr für die IT-Sicherheit tun.

Zwar ist sie wichtiger Bestandteil teil der

ei-

genen

Unternehmensstrategie, e nsstrategistr dennoch

hat

sie in kleineren eren e

Unternehmen e e

deutlich

seltener e

e einen

Platz in eben en dieser.

er.

Martin Mangold | www.drivelock.de

ww.d

de

Die komplette Studie kann unter

folgender URL heruntergeladen

werden: https://bit.ly/2HxMNL6

www.it-daily.net

ww.it-daily.net


28 | IT SECURITY

SO WERDEN DIGITALE IDENTITÄTEN FÜR MENSCHEN UND MASCHINEN DIE

Darrell Long von One Identity weist in

seiner Prognose auf die Zusammenhänge

zwischen Robotik-Prozessautomatisierung,

Cloud, Compliance, Datendiebstahl,

Künstliche Intelligenz und das Identity

& Access Management hin.

Der Aufstieg der verwundbaren

Maschinen

Im Jahr 2020 wird die Robotik-Prozessautomatisierung

(RPA) ihren umwälzenden

Aufstieg weiter fortsetzen und sich

noch stärker in unserem Alltag verankern.

Bis Ende 2019 prognostiziert Gart-

ner, dass der Umsatz mit der Robotik-Prozessautomatisierung

die 1,3 Milliarden

US-Dollar-Marke knacken wird. Für das

neue Jahr wird sogar ein noch stärkeres

Wachstum erwartet. Allerdings gibt es

bei der Integration von RPA ein beherr-r

schendes Problem – das der Sicherheit.

Im Zuge der raschen Einführung von RPA

spielte Sicherheit nur eine nachgeordnete

Rolle, die schwerwiegende Schwachstellen

hinterlassen hat. Wie wir es schon

bei anderen Innovationen beobachten

konnten, rechnen wir im Jahr 2020 mit

einem signifikanten Datenschutzverstoß

gegen die RPA-Technologie. Denn die

Technologie wird die Aufmerksamkeit

von Cyberkriminellen zwangsläufig auf

sich ziehen. Allein aufgrund der privilegierten

Daten, die in RPA-Technologien

vorgehalten werden. Leider wird man

sich erst um ausreichende Sicherheit bemühen,

wenn es zu spät ist, und wenn

entsprechende Vorschriften mit der Nut-

zung von RPA-Technologien verbunden

werden.

Sich an der Cloud die Finger

verbrennen

Es gibt im Moment eine Art „Goldrausch“

bei Unternehmen, ihre Daten in die

Cloud zu verschieben. Praktisch jeder

will auf den fahrenden Zug aufspringen.

Das Problem dabei: viele springen erst

und schauen dann genauer hin. Gerade

große Unternehmen migrieren in rasantem

Tempo in die Cloud, ohne sicherzustellen,

dass ihre Daten während der

Übertragung ebenso geschützt sind wie

an ihrem Bestimmungsort. Das Jahr 2020

wird für etliche Unternehmen von Datenschutzverletzungen

und den daraus resultierenden

Bußgeldern gekennzeichnet

sein. Einfach, weil Firmen versäumt haben,

rechtzeitig die notwendigen Schritte

einzuleiten. Trotz eines Shared Responsibility

Modells und ständigen Schlagzeilen

zu Cloud-Sicherheitsschwachstellen,

prognostizieren wir, dass viele Unternehmen

daran scheitern werden Due Diligence

durchzusetzen. Wer Datensicher-

heit in der Cloud unberücksichtigt

lässt, der wird sich an diesem Thema

zweifelsohne die Finger ver-

brennen. In der Folge werden diese

Unternehmen zu spät herausfinden,

dass Identity Governance

und Privileged-Access-Management

schon on-premises hätten

ordnungsgemäß umgesetzt wer-

den sollen. Um diese Best Practices

dann beizubehalten, wenn die

Migration in die Cloud ansteht.

Branchen hart

Unternehmen aller Branchen wer-

den mit der Integration proaktiver

Datenschutzpraktiken und -richtlinien

zu kämpfen haben. Die

EU-Datenschutz-Grundverordnung

(DSGVO/GDPR) und weitere in

Arbeit befindliche Regularien,

werden die Unternehmen abstrafen,

die im Umgang mit Daten

fahrlässig handeln. Firmen müssen

ihre Kunden im Falle einer Datenschutzverletzung

in Kenntnis setzen.

Wenn sich im Zuge dieses Prozesses herausstellt,

dass keine angemessenen Datenschutzpraktiken

wie Identity Gover-

nance and Administration sowie Privileged

Access Management umgesetzt

wurden, dann ist mit deutlich empfindlicheren

Strafen für die Betroffenen zu

rechnen. Wir werden vermutlich einen

Ansturm der Unternehmen erleben, die

nach einer Datenschutzverletzung einen

Schritt zurückgehen um die richtigen Sicherheits-Tools

und –Methoden ein- und

umzusetzen.

Der Markt für gestohlene

Daten boomt weiter

Auch im kommenden Jahr werden Daten

unter Cyberkriminellen weiterhin als hei-

www.it-daily.net


IT SECURI

TY | 29

NÄCHSTEN JAHRE PRÄGEN

ße Ware begehrt sein. Bei dem Versuch,

ihre Daten wirksam zu schützen, werden

Unternehmen den Ball immer wieder mal

verlieren. In unserer datengetriebenen

Ökonomie sind Daten mehr wert als Öl,

und Hacker sind sich sehr wohl bewusst,

welchen Profit sie aus gestohlenen Anmeldedaten

zu privilegierten Konten

schlagen können. Im neuen Jahr wird

sich das besonders auswirken, wenn

Unternehmen versäumen

Privileged Account Management (PAM)

und Identity Governance and Administ-

ration (IGA) korrekt umzusetzen und so

die Daten, mit denen sie arbeiten, umfassend

zu schützen. Dieses Versagen

wird sich unmittelbar auf die Wettbewerbsfähigkeit

eines Unternehmens auswirken

und Firmen ins Abseits drängen.

Im Gegensatz zu sicherheitszentriert ar-

beitenden Organisationen, die in der

Lage sind, ihren Kunden das notwendige

Vertrauen zu geben, dass der unternehmerische

Fokus auf dem Schutz der Kundendaten

liegt.

Künstliche Intelligenz

Künstliche Intelligenz hat jetzt die Gelegenheit

von einem Tool, dessen Kapazitäten

nicht ausgereizt wurden, und das

nicht selten als „Schall und Rauch“ bezeichnet

wird, zu einem zu werden, das

Unternehmen einen echten Mehrwert

bietet. Künstliche Intelligenz und Analytik

wird die Art und Weise verändern in der

Unternehmen Identity Governance and

Administration (IGA) implementieren.

Das wird ein großer Schritt in die

richtige Richtung sein. Hin zu mehr

und kontinuierlicher Sicherheit bei

der Governance von Zugriffsberechtigungen

und damit hin zu einem

besseren Schutz des Unternehmens

und der vorgehaltenen Daten.

Der Grund, warum KI und

Analytics in der Vergangenheit

nicht so eingesetzt wurden, liegt

darin, dass viele Unternehmen einfach

nicht wissen wie sie (KI) und

Analytics am besten in ihre Sicher-

heits- und Governance-Programme

integrieren. Das wird sich ändern.

Im Jahr 2020 sind Unternehmen an

einem Punkt angelangt, an dem sie

sich in Sachen KI sicherer fühlen

und ein besseres Verständnis für

den Mehrwert entwickelt haben,

den KI für ein Sicherheitsprogramm

zu bieten hat. Jetzt ist es an der

Zeit, den nächsten Schritt zu tun,

um diese Lösungen abzusichern

und effektiv zu verwalten.

Darell Long | www.oneidentity.com

IAM CONNECT 2020

Konferenz vom

16. bis 18. Mä

rz 2020 in Berlin

Treffen Sie One Identity auf der

Konferenz IAM CONNECT 2020

und bringen Sie Ihr Know-how

über Identity & Access Management

und das Internet of Things

auf den neuesten Stand.

IAM im industriellen

IoT-Umfeld

Mathias Winter, Azure-Experte

bei der PI Informatik GmbH, berichtet

von der Digitalisierung

„alter“ industrieller Anlagen und

die Herausforderung in diese

IoT-Szenarien IAM-Technologien

zu etablieren.

IAM für Internet-Dinger

(IoT)

Peter Weierich von der IPG

GmbH hält einen Workshop über

IoT-Projekte und ihre Auswirkungen

auf IAM-Prozesse.

IAM-Verantwortliche der Bundesagentur

für Arbeit, Deutsche

Anlagen-Leasing (DAL), DEVK

Versicherungen, Johanniter-Unfall-

Hilfe e.V., KfW Bankengruppe,

KPT Krankenkasse, Munich Re und

Thüringer Aufbaubank berichten

über ihre IAM-Projekte.

Konferenz mit Erfahrungsberichten,

Speed Demos, Ausstellung,

Workshops und Diskussionsrunden

Info und Anmeldung:

www.iamconnect.de

www.it-daily.net


30 | IT SECURITY

IT & OT IM WANDEL

CYBERBEDROHUNGEN IN DER FERTIGUNGSINDUSTRIE

Über Jahrzehnte hinweg wurden Systeme

innerhalb der Informationstechnologie

(IT) getrennt von denen der operativen

Technologie (OT) in voneinander

unabhängigen Netzwerken betrieben.

Mit unterschiedlichen Komponenten und

unterschiedlichen Zielen.

Während IT-Systeme für Berechnungen

verwendet werden, die dazu dienen Informationen

zu verarbeiten, hat die operative

Technologie eine andere Aufgabe.

Mit ihrer Hilfe werden physikalische Prozesse,

Umgebungen, Ereignisse und Vorkommnisse

in einem Unternehmen überwacht.

Allerdings haben die jüngsten

Entwicklungen dazu geführt, dass diese

zuvor getrennten Umgebungen verschmelzen.

Dazu gehören eine zunehmende

Automatisierung und Verbesserungen

innerhalb von Produktionsanlagen

und kritischen Infrastrukturen.

Diese Entwicklung hat allerdings auch

unerwünschte Nebenwirkungen. Je mehr

die OT über neue intelligente Geräte vernetzt

ist, desto mehr sind industrielle Systeme

komplett neuen Sicherheitsrisiken

ausgesetzt. Drahtlose Geräte sorgen für

bequemere Vernetzung und mehr Produktivität,

aber sie können auch zur Zielscheibe

von Cyberangriffen werden.

Cyberkriminelle nutzen die zwischen IT

und OT entstandene Sicherheitslücke für

sich aus.

Wie schützt man sich?

Doch wie geht der Fertigungssektor mit

der wachsenden Zahl von Cyberbedrohungen

um und inwieweit bereitet sich

die Branche insgesamt angemessen vor?

Zumeist haben Industrieunternehmen mit

denselben Herausforderungen und Risiken

hinsichtlich der benutzten Software

zu kämpfen wie jedes andere Unternehmen

auch. Jede Software, die Sie kaufen

und benutzen birgt Risiken. Wie soll man

einschätzen, ob das Risiko akzeptabel ist

www.it-daily.net


IT SECURITY | 31

oder nicht? Wie soll man Cybersicherheitsrisiken

unterschiedlicher Produkte

miteinander vergleichen? Historisch betrachtet

mussten Industrieunternehmen

darauf vertrauen, dass die verwendete

Software angemessen sicher war. Das

heißt, sich auf Anbieter zu verlassen, die

einen Secure Development Life Cycle

(SDLC) mittels automatisierter Tools gewährleisten.

Ziel dieses Prozesses ist es,

so viele Schwachstellen wie möglich zu

finden und zu beheben, bevor das Produkt

auf den Markt kommt, um die Risiken

so gering wie möglich zu halten. In

der Fertigungsindustrie kommen aber einige

spezielle Herausforderungen dazu.

Einerseits überwacht eine Software in

einem industriellen Netzwerk meist physische

Prozesse. Software-Schwachstellen

verursachen unter Umständen physische

Schäden. Auf der anderen Seite ist

die lange Lebensdauer von industriellen

Komponenten und Systemen komplett

gegenläufig zu den schnellen und häufigen

Update-Zyklen wie sie bei Software

üblich sind.

Welche Auswirkungen

kann es geben?

Man braucht sich nur die jüngsten

Schlagzeilen ansehen, wenn man wissen

will, was passiert, wenn es jemandem

nicht gelungen ist Cybersicherheit ausreichend

zu adressieren. Jedes Unternehmen

nutzt Software. Folglich kann auch

jedes von ihnen Opfer eines Cyberangriffs

werden. Gerade für Industrieunternehmen

sind die Folgen erfolgreicher

Attacken so vielfältig wie schwerwiegend.

Dazu zählen der Diebstahl geistigen

Eigentums und sensibler geschäftlicher

Informationen ebenso wie physische

Schäden an Anlagen und Ausrüstung,

Produktionsausfälle und Systeme, die

durch Ransomware lahmgelegt werden.

SICHERHEIT IST KEIN TECHNO-

LOGIEPROBLEM, SICHERHEIT

IST EIN PROZESSPROBLEM.

AUTOMATISIERTE TOOLS HEL-

FEN BEI DER JAGD AUF SOFT-

WARE-SCHWACHSTELLEN. SIE

SIND ALLERDINGS NUTZLOS,

WENN SIE NICHT IM RAHMEN

EINES ÜBERGREIFENDEN RISI-

KO-MANAGEMENT-PROZESSES

ZUM EINSATZ KOMMEN.

Jonathan Knudsen, Senior Security Strategist,

Synopsys Software Integrity Group,

www.synopsys.com

Selbst so schwerwiegende Folgen wie

Verletzungen und Todesfälle unter der Belegschaft

sind nicht auszuschließen.

Die magische technologische Sicherheitsdecke

existiert leider nicht. Wenn

man Sicherheitsrisiken effektiv managen

will, ist es wie bei vielen anderen Dingen

auch. Man muss einiges an Arbeit hineinstecken,

und man muss die Art und Weise

verändern, in der man bisher vorgegangen

ist. Für Industrieunternehmen gilt

analog, was für jedes andere Unternehmen

auch zutrifft. Die Basis ist eine fundierte

und vom Management getragene

Sicherheitsinitiative deren Aufgabe es ist

die Sicherheitskultur im gesamten Unternehmen

zu kommunizieren und zu verankern.

Systeme und Netzwerke sollten

bei jedem Entwicklungsschritt so konzipiert

werden, dass Sicherheit immer Bestandteil

der Entwicklung ist. Bei der Beschaffung

von Anlagen, Ausrüstung und

Software sollte man die potenziellen Sicherheitsrisiken

gründlich prüfen, und

dazu sollte man etwas von sicheren Softwareentwicklungszyklen

verstehen. Nur

dann sind Sie in der Lage, den Anbietern

prägnante Fragen zu stellen und die Antworten

einzuordnen. Man kann noch einen

Schritt weiter gehen und eine eigene

Risikobewertung erheben. Etwa mithilfe

von Software Composition Analysis

(SCA) Tools oder Penetrationstests.

Das neue Wundermittel: KI

Es stellt sich die Frage: Inwieweit haben

technologische Fortschritte und Automatisierung

dazu beigetragen, blinde Flecken

im Cyberspace zu finden? Wird die

Zukunft durch Automatisierung und KI

sicherer?

Nun, Sicherheit ist kein Technologieproblem,

Sicherheit ist ein Prozessproblem.

Automatisierte Tools helfen bei der Jagd

auf Software-Schwachstellen. Sie sind allerdings

nutzlos, wenn sie nicht im Rahmen

eines übergreifenden Risiko-Management-Prozesses

zum Einsatz kommen.

Umsichtige Industrieunternehmen

werden eigene Assessments anwenden,

bevor sie neue Systeme oder Software-Pakete

ausbringen. Aber man sollte die Anbieter

ermutigen, gründliche und umfassende

Sicherheitstests während des gesamten

Entwicklungszyklus einer Software

durchzuführen. Automatisierte Tools

analysieren den Quellcode und die Zusammensetzung

der Software, sie bewerten

die Sicherheit von Software-Produkten

mit Fuzz-Testing, mit interaktiven und mit

dynamischen Testmethoden. Zukünftige

Neuerungen werden sich in genau dieses

Rahmenwerk eines sicheren Entwicklungslebenszyklus

einer Software einfügen.

Impulse werden vermutlich auch von

künstlicher Intelligenz ausgehen.

Jonathan Knudsen

www.it-daily.net


2. Cyber

Security Tech

Summit Europe 2020

11. März 2020

WCCB Bonn

SECURI Y

macht den Unterschied.

Erleben Sie, wie sich „Managed Cyber Defense“ nahtlos

in Ihr bestehendes System einfügt: für ein noch

wirksameres Entdecken und Abwehren aller Gefahren.

Jetzt unter 0800 33 09333

oder auf t-systems.de/security

oder Live auf dem 2. Cyber Security Tech Summit Europe 2020!

Hurra! Ihre Datei wurde hochgeladen und ist bereit für die Veröffentlichung.

Erfolgreich gespeichert!

Leider ist etwas schief gelaufen!